Новые уязвимости OpenSSL

Мне не нужно их отслеживать, я их всегда держу под контролем. Если кто-то этого не умеет или не может обойтись без машинного контроля краев выделенной памяти, пусть пишут свои проjeкты на Java\C# и других ЯП, которые это делают вместо человека.

Я от них иного и не ожидал :)

Вот что они пишут в своей официальной рассылке Fedora, this morning, released the latest version of OpenSSL which fixes a MITM CCS injection attack (CVE-2014-0224). This vulnerability made a man-in-the-middle attack possible when both sides were using a vulnerable OpenSSL implementation. It is highly recommended that all users update their openssl packages (sudo yum update openssl) and verify that they have the openssl-1.0.1e-38 RPM installed. A restart of any service that is using OpenSSL is required for this fix to become active.

Федоровцы как всегда радуют.

А там, где у Си будет «выход за массив», но не будет падения (heartbleed, ага), у джавы всё равно будет исключение. Но тестирование применимо к любому языку, да.

там где у си не будет падения, там будет ошибка в отладчике памяти. добавляем сюда покрытие тестами и перед нами открывается чудесный новый мир.

Кто ещё не удалил этот бекдор ?

Походу, как раз и начали верифицировать :)

Ошибёшься. Без кода, тихо, мирно эти бы уязвимости нашёл бы какой-то кул-хакеп... А дальше - как фантазия позволяет.

Уже 1.0.1f

Начну из далека:

Месяц назад был на альсборах на Баджале (на самом деле - не важно где), был первый выход («открывашка») по гребневому маршруту (т.е. по гребню, а если что кому скажет: 1Б, Клевер), дул ветер. Один из участников плюнул, не подумавши... Было красиво: летит против ветра, замедляется, зависает на мгновение и летит обратно в морду лица.

Так что себе в рожу тоже плюнуть можно, да ещё и эффектно :-D

Тооооолсто же :)

Сродни Си vs Asm

Там не сколько в языке дело, сколько к подходу к тестированию. Если бы простой «бытовой» софт разрабатывался как для авионики (там до недавнего времени тоже превалировала Ада, хотя, может и сейчас), то новые бы версии софта выпускались бы не чаще раза в 10-15 лет.

Ему уже проще сразу в машинных кодах.

Удобно вбрасывать такую чушь, когда очевидно, что GNU/Linux никогда не получит широкого распространения на десктопе? :)

Android/Linux уже 2.71бут во все дыры. Та же участь ждет и GNU/Linux, очевидно же!

Казалось бы, так оно и было бы, если бы не одно НО - он уже получил широкое распространение на декстопах, а этот мем, что линукс и консоль - вещи, которые не существуют друг без друга, перестал быть актуальным ещё где-то в 2009-2011 годах, точно не скажу, но в эти годы количество вбросов уменьшилось в разы.

В свете последних событий, такая бредовая вещь как самодельная библиотека шифрования становится очень даже актуальной.

Вот теперь думаю, а не поменять ли константы, рекомендованные RSA?

какая связь между динамической типизацией и безопасностью?

Прям таки широкое? Сколько? 20% хотябы есть?

Никто не знает сколько кулхакеров нашли эти баги задолго до того как они были опубликованы. Ну и дальше как позволяет фантазия.

Что ты, все 90%

Ну и дырявый же этот openssl. Жалко, что альтернативы нет и не предвидится ближайшие 10 лет.

Почему нет? Есть PolarSSL. Только он для коммерческой деятельности не бесплатный.

Как у него с FIPS?

Не знаю.

В том и дело, что никак. Ни одно предприятие уровня государственного учреждения США в здравом уме ничего не кинет наружу, если ssl не фипсовый.

Ну и дурачок.

Это говно проходит аудит выявляющий уязвимости, всё остальное ещё нет.

это жы опенсорц, надежный, потому что ежедневно всеми читаемый (на ночь) и перепроверяемый.

Ему место в портах, а не в базовой системе.

В данном случае все решается через тестирование.

Нет, не решается. Всё решается через доказательство корректности.

Из АНБ продолжают сливать информацию о закладках?