LINUX.ORG.RU
ФорумTalks

4-ре новые уязвимости в OpenSSL, 2-м из них LibreSSL не подвержена

 ,


0

1

Сабж. Уязвимости CVE-2015-1393, CVE-2015-1394, CVE-2015-1395, CVE-2015-1396. Об уязвимости CVE-2015-1394 разработчикам OpenSSL сообщили ещё 27 августа. Т.е. для фикса уязвимости потребовалось 3 месяца (!). Тем временем, популярность LibreSSL, пилящаяся в недрах OpenBSD продолжает расти.

p.s. и да, я давно хотел высказать своё мнение, касательно нытья на тему «но ведь у разрабов OpenSSL, так мало денег, давайте их поддержим тоннами нефтью». Ребята, у разработчиков OpenSSL денег достаточно. Реализацию всех этих нужных и ненужных алгоритмов и их связок оплачивают, как государства, так и корпорации. Пример, наш GOST, думаете его реализовали разработчики OpenSSL за 200 грамм риса? Как бы не так. Плачевное состояние с безопасностью OpenSSL объясняется совершенно иными причинами.


2 новых уязвимости в libressl

Решето.

gadfly ★★ ()

Плачевное состояние с безопасностью OpenSSL объясняется совершенно иными причинами.

какими же?

cvs-255 ★★★★★ ()

Плачевное состояние с безопасностью OpenSSL

Оно не плачевное. В любой другой библиотеке, тоже бы находили кучу уязвимостей, если бы она использовалась количеством пользователей большим двух.

Vovka-Korovka ★★★★★ ()

Плачевное состояние с безопасностью OpenSSL объясняется совершенно иными причинами.

софт разрабатывать трудно и долго, его пишут не роботы, а живые люди, которые иногда совершают ошибки, софта без багов не существует

Harald ★★★★★ ()

это интересно, еще бы ссылку на оригинал.

crypt ★★★★★ ()

Нужно отказаться от практики Responsible disclosure. Нашел уязвимость - сразу опубликовывай.

Компании устроили себе из этого принципа клёвую кормушку, позволяющую выпускать дырявый код. Мол если кто найдет дырку - сначала всё-равно нам сообщит и мы ее 2-3 месяца патчить будем. А то и вообще запретим публиковать инфу если в лом патчить.

Мне сейчас возразят - мол пользователи пострадают. Пользователи пусть начинают голосовать рублем за ПО где меньше дыр и где гарантия не вида use it at your own risk. Ну и думать может начнут - но это утопия, конечно.

eabi ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.