Уязвимости OpenSSL

CVE-2022-4304 фундаментально важная, по сути раньше все отмахивались от таких с формулировкой «такое не замеришь удалённо». А оказывается вполне себе замеришь, если много раз замеришь.

Остальное немного обычный вторник.

Память, указатели, NULL...

LibreSSL лучше.

А оказывается вполне себе замеришь, если много раз замеришь

Ну тухловато всё же. Сеть и нагрузка на железо может вносить совершенно рандомные задержки, плюс всякие fail2ban не позволят это делать бесконечно.

Что в принципе закрыли саму возможность - молодцы.

Ну тухловато всё же.

Железо все быстрее, большой набор измерений набрать все проще.

Сеть и нагрузка на железо может вносить совершенно рандомные задержки

Да-да, вот так и отмахивались.

плюс всякие fail2ban не позволят это делать бесконечно.

Много у тебя торчащих наружу SSL-enabled сервисом закрыто fail2ban’ом? =) То-то.

Может,

Что в принципе закрыли саму возможность - молодцы.

Спасибо, но закрыли по самой яркозаметной в openssl и gnutls. Лучше, чем не закрыть, хуже, чем совершенство. Сейчас ещё в новых CPU от Intel сломают гарантии независимости времени исполнения от данных, вот заживем.

Там не закрывают?

Судя по их пайплайну, они пользуются санитайзерами, но это не помогло не допустить уязвимости :(

Быдлокодеров костылями не исправишь. То что OpenSSL дырявое уже давно всем известно. И хоть баги исправляют пачками, но конца им не видно. Если что, новые добавляют.

LibreSSL лучше.

Security: 1dd84344-a7da-11ed-86e9-d4c9ef517024

В либре такие же ошибки, и она, не будучи drop-in заменой openssl посте потери API совместимости, никому не нужна.