forum.opennet.ru

"Переполнение буфера в OpenSSL, эксплуатируемое при проверке сертификатов X.509 "

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Переполнение буфера в OpenSSL, эксплуатируемое при проверке ..."	–1 +/–
Сообщение от Аноним (26), 01-Ноя-22, 20:50
> When you’re compiling in debug mode, Rust includes checks for integer overflow that cause your program to panic at runtime if this behavior occurs. Rust uses the term panicking when a program exits with an error; we’ll discuss panics in more depth in the “Unrecoverable Errors with panic!” section in Chapter 9. >When you’re compiling in release mode with the --release flag, Rust does not include checks for integer overflow that cause panics. Instead, if overflow occurs, Rust performs two’s complement wrapping. In short, values greater than the maximum value the type can hold “wrap around” to the minimum of the values the type can hold. In the case of a u8, the value 256 becomes 0, the value 257 becomes 1, and so on. The program won’t panic, but the variable will have a value that probably isn’t what you were expecting it to have. Relying on integer overflow’s wrapping behavior is considered an error. Что-то не работают основные фичи... Тогда спрашивается чем debug mode от динамического анализатора для Си/Цпп отличается? Его можно также не запускать и ошибки уйдут в релиз версию.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Переполнение буфера в OpenSSL, эксплуатируемое при проверке сертификатов X.509 , opennews, 01-Ноя-22, 20:00 [смотреть все]

Опять ненастоящие Сишники, да что ж такое , Аноним, 01-Ноя-22, 20:00 (1) //
- Это, конечно, не вебмакаки Вебмакакам до такого уровня ещё деградировать и дегр, Аноним, 01-Ноя-22, 20:02 (4) //
  - Ubuntu packages are built with stack protector, reducing theimpact of this CVE f, Аноним, 02-Ноя-22, 02:19 (53) //
    - Сишники настолько умные, относительно растоманов, что зачастую брезгуют любыми п, ВлезВТопик, 02-Ноя-22, 07:38 (70)
      - Смени топик на майку , Аноним, 02-Ноя-22, 13:58 (116)
        
        Лучше на зайку, Аноним, 03-Ноя-22, 14:55 (147)
- Что-то последнее время часто появляются уязвимости в НОВОМ коде, а в старых ве, Аноним, 01-Ноя-22, 20:16 (9) //
  - Деградация, жертвы питона освоили C , Аноним, 01-Ноя-22, 20:40 (18)
  - у дидов обычно уязвимости на уровне спецификации протокола, Аноним, 01-Ноя-22, 20:42 (20) //
    - то не уязвимость, а закладка от АНБ была , Аноним, 01-Ноя-22, 21:08 (31)
  - Heartbleed такой - ну да, ну да , another_one, 01-Ноя-22, 20:49 (25) //
    - Кстати, его всегда можно было отключать, или это потом уже придумали Там вообще, Аноним, 01-Ноя-22, 23:08 (44)
  - MS овская многоходовка , Аноним, 02-Ноя-22, 05:23 (59) //
    - Как только Лёня всплыл в проруби микрософта - уже ничему не удивляешься , Аноним, 02-Ноя-22, 09:54 (89)
- Не веб-макаки говоришь Ты фиксы смотрел Это хуже чем любой вебмакакинг - if, Аноним, 01-Ноя-22, 20:41 (19) //
  - растаманы бы написали if written_out max_out , Аноним, 01-Ноя-22, 21:10 (32) //
    - Что бы сделали растаманы - твои маняфантазии А что сделали сишники - мы все уже , Аноним, 02-Ноя-22, 13:30 (107)
      - Но и кода ты растик не показал, microsoft, 02-Ноя-22, 22:00 (140)
  - И что здесь такого Чел забыл, что чек происходит уже после того, как данные пиш, Аноним, 02-Ноя-22, 06:36 (61) //
    - Точно известно А через неделю не забудешь Через месяц А коллегам не забудешь , Аноним, 02-Ноя-22, 06:57 (63)
    - Если ограничиться фрагментом из патча и не вникать в остальной код, то written_o, n00by, 02-Ноя-22, 09:33 (82)
      - Ты про defensive programming слышал Опыт программирования, особенно на языках т, Аноним, 02-Ноя-22, 17:10 (126)
        
        ты на ник его посмотри и не задавай глупых вопросов, Аноним, 03-Ноя-22, 04:08 (141)
        
        Работает ведь Особенно зачётно, когда персонаж без имени такое пишет , n00by, 03-Ноя-22, 09:47 (145)
        
        Я слышал, что господа теоретики очень любят грузить оппонента заумными buzzwords, n00by, 03-Ноя-22, 09:29 (144)
  - Ошибиться на 1 символ это самая частая ошибка, у людей нервная система так работ, Аноним, 02-Ноя-22, 06:53 (62)
- Что-то всё чаще и чаще мелькает бубнеж этой мантры Не надоело , Аноним, 01-Ноя-22, 21:13 (35) //
  - Смотрите комментарий над проблемной функцией code - Pseudocode functio, n00by, 02-Ноя-22, 09:47 (87)
- npm audit fixhttps vuldb com recent 202211, Без аргументов, 01-Ноя-22, 22:49 (41) //
  - https vuldb com recent 202210, Без аргументов, 01-Ноя-22, 22:50 (42)
  - Но вы же не веб-макака и знаете что такое шина адреса она вообще есть у совреме, Аноним, 02-Ноя-22, 10:06 (90) //
    - Я просто возьму Qt WxWidgets, Pure JS как макаки называют отдельную технологию, Без аргументов, 02-Ноя-22, 13:46 (108)
      - не Pure, Vanilla JS точнее каких только не развели, Без аргументов, 02-Ноя-22, 13:55 (113)
    - Java Spring, наконец Это касательно с фронтендом, кроме Go , Без аргументов, 02-Ноя-22, 13:47 (109)
      - Я правильно понимаю вы пишете одновременно на 1 go2 qt c 3 WxWidgets c 4 j, Аноним, 02-Ноя-22, 16:28 (123)
        
        Женщина-программист Чего только не выдумывают на опеннете , Аноним, 02-Ноя-22, 16:42 (124)
        
        У меня была сеньёрша по шарпам Реально Просто место работы надо менять, и выби, Без аргументов, 02-Ноя-22, 18:55 (136)
        
        Если это не просто перечисление всех известных вам названий технологий, Аноним, 02-Ноя-22, 17:48 (129)
        
        На Java меньше всего, даже забыл 9 лет назад Я просто знаю, что жили нормально, Без аргументов, 02-Ноя-22, 19:05 (139)
        
        Мне 32 За компом с 9 игрушки мои компы не тянули На всём этом приходилось Н, Без аргументов, 02-Ноя-22, 18:50 (132)
        
        Как здорово что на опеннет есть настоящие программисты способные писать сразу на, Аноним, 03-Ноя-22, 06:14 (142)
        
        Про схемотехнику, органицию ЭВМ, ПЛИС, ассемблер -- я это всё универ с магистрат, Без аргументов, 02-Ноя-22, 18:52 (134)
        Не кикбрейнс же проходил И да, PL SQL Oracle я тоже очень хорошо знал 3 года наз, Без аргументов, 02-Ноя-22, 18:53 (135)
        вот с JS я не осилил, признаюсь т к фрейморки это уже каждый из них космос, ко, Без аргументов, 02-Ноя-22, 18:58 (137)
        Еще сайт делал полностью под ключ на PHP JQuery 5 лет пашет, никакого вебмака, Без аргументов, 02-Ноя-22, 18:59 (138)
    - Память у вас хорошая Касательно эмбеда верно Си на бэке Cortex M или Go Cor, Без аргументов, 02-Ноя-22, 13:51 (110)
      - кто делает сервер на cortex m, тот конечно тоже не совсем адекват, Без аргументов, 02-Ноя-22, 13:56 (114)
    - Про Раст не скажу, пока наблюдаю, Без аргументов, 02-Ноя-22, 13:51 (111)
    - это всё нужно для SPA-PWA и прочий клей момент с жирным клиентом , Без аргументов, 02-Ноя-22, 13:53 (112)
      - и кстати удачи в SEO со своими SPA, Без аргументов, 02-Ноя-22, 13:57 (115)
- Опять где же настоящие растоманщики , истина в последней инстанции, 03-Ноя-22, 20:40 (152)
OpenSSL, который мы заслужили , Аноним, 01-Ноя-22, 20:01 (2) //
- Ну так для этого и ответвились - всё говно, которое Google не счёл экономически , Аноним, 01-Ноя-22, 20:05 (5) //
  - У неё нет пользователей , Аноним, 01-Ноя-22, 23:09 (45)
  - Причём тут GnuTLS Они с OpenSSL ни разу не родственники , Аноним, 02-Ноя-22, 08:42 (74) //
    - Часть софта при сборке из портов FreeBSD даёт выбор использовать GnuTLS или Open, iZEN, 02-Ноя-22, 09:15 (80)
      - А из исходников, в большинстве случаев, ты можешь использовать что угодно, что L, bOOster, 02-Ноя-22, 10:54 (100)
        
        В большинстве случаев нет, в софте должна быть явная поддержка в коде Я делал т, Аноним, 02-Ноя-22, 13:14 (105)
А может 1 никто не проверяет просто Ведь не new shiny shit, прошлый век, непро, Аноним, 01-Ноя-22, 20:02 (3) //
- Скорее всего проверяют, ветка 1 х на приватной поддержке вроде , Аноним, 02-Ноя-22, 05:25 (60)
https github com mesalock-linux mesalink - OpenSSL compatibility layer for the, Аноним, 01-Ноя-22, 20:07 (6)
Как же достали эти уязвимости Пора переходить на RusTLS , DEF, 01-Ноя-22, 20:12 (7) //
- Russian TLS , Аноним, 01-Ноя-22, 20:49 (24)
- Этого никогда не случиться Потому что вы его никогда не допишете , истина в последней инстанции, 03-Ноя-22, 20:42 (153)
А разве Rust защищает от переполнения буффера числа , Аноним, 01-Ноя-22, 20:13 (8) //
- Один из багов в FF показал, что в расте надо так же ручками проверять вхождение , Аноним, 01-Ноя-22, 20:24 (12) //
  - Пруфы в студию , Аноним, 01-Ноя-22, 20:42 (21) //
    - см багтрекер Мозилы, Аноним, 01-Ноя-22, 21:11 (33)
      - Хаха, что и требовалось ожидать Ты только языком трепаться можешь , Аноним, 01-Ноя-22, 21:15 (36)
        
        Не осиливаешь в поиск Как ты вообще русский язык в прошлом году в 8-ом классе с, Аноним, 02-Ноя-22, 09:00 (78)
  - А что происходит когда в расте ты таки обращаешься с массиву по неверному индекс, Анонн, 01-Ноя-22, 20:47 (23) //
    - в конкретно том случае всё делалось руками, в т ч кидание паники неуместное, е, Аноним, 01-Ноя-22, 21:12 (34)
    - Число просто переполняется и становится отрицательным больше ничего интересного , Аноним, 02-Ноя-22, 09:00 (79)
      - интересное происходит ПОТОМ, когда оно используется в вычислении смещений , Аноним, 02-Ноя-22, 09:50 (88)
    - Смотря как обращаешься Если вызываешь code get i code то этот метод возвра, freecoder, 03-Ноя-22, 23:27 (154)
  - Один из ветров показал, что они дуют, потому что деревья качаются https git op, Аноним, 01-Ноя-22, 23:41 (47)
- Это одна из основных фитч, так-то , Rev, 01-Ноя-22, 20:32 (14) //
  - читай выше , Аноним, 01-Ноя-22, 20:35 (16) //
    - Ты же ссылку не привел, что читать Твои больные фантазии , Аноним, 02-Ноя-22, 07:02 (64)
  - Что-то не работают основные фичи Тогда спрашивается чем debug mode от динамич , Аноним, 01-Ноя-22, 20:50 (26) //
    - Работают если знаешь как ошибка будет логическая, а не порча памяти , Анонн, 01-Ноя-22, 20:53 (27)
- А почему ты объединяешь эти проблемы Переполнение числа и переполнение буфера а, Аноним, 01-Ноя-22, 22:28 (40)
от него кровопролитиев ждали, а он чижика съел Ну и хорошо что так, зря тольк, anonymous, 01-Ноя-22, 20:19 (10) //
- Салтыков-Щедрин, Медведь на воеводстве , ryoken, 02-Ноя-22, 08:00 (71)
Хочешь не хочешь, а уже начинаешь верить в теории заговора, почему этот кусок кр, Самый умный из вас, 01-Ноя-22, 20:20 (11) //
- Дорого плюс конеретно этот кусок используют все подряд, в нем уже залатали вс, Аноним, 02-Ноя-22, 02:24 (55)
- Иксы уже переписали теперь имеется куча багов в новом модном wayland решен, Аноним, 02-Ноя-22, 02:26 (56)
Пустозвимость, из-за которой задержали выпуск новой Федоры , Аноним, 01-Ноя-22, 20:25 (13) //
- RawHide в помощь, и ваша Федора всегда будет настолько новой, что прям дальше не, ryoken, 02-Ноя-22, 08:01 (72)
ну наконец-то libressl может похвастаться что хотя бы этой проблемы у них нет п, Аноним, 01-Ноя-22, 20:37 (17) //
- Вообще-то немало выявленных в OpenSSL уязвимостей не проявляются в LibreSSL Обр, Аноним, 02-Ноя-22, 08:46 (75) //
  - И это нам показывает реальное положение дел, что вообще много всяких помоев в Li, bOOster, 02-Ноя-22, 08:58 (77)
Ахаха, впрочем ничего нового Фикс с vs просто шикарен И это в штуке, н, Аноним, 01-Ноя-22, 20:44 (22)
Дали сишнику два буфера за один он вышел, а второму use-after-free сделал , Аноним, 01-Ноя-22, 21:08 (30) //
- У Пети было 32 байта в буфере 24 он отдал Маше, а оставшиеся 128 8212 Ване , Аноним, 01-Ноя-22, 21:25 (37) //
  - у этой истории есть продолжение там где Петькины 24 байта застряли в Машкины, Аноним, 01-Ноя-22, 21:54 (38)
  - Хочешь сказать у Вани буфера больше, чем у Маши , Онаним., 01-Ноя-22, 23:57 (50)
  - Петя вставил данных Маше на 24, а Ване - на 128 На каком языке пишет Петя , Аноним, 02-Ноя-22, 10:18 (94) //
    - скорее всего руби, Аноним, 02-Ноя-22, 16:06 (121)
В Ф36 будет пакет openssl-3 0 5-2 fc36, а не 3 0 7Получается что это бэкпорт, и , penetrator, 01-Ноя-22, 22:03 (39) //
- Пусть страдают , анонимус, 01-Ноя-22, 23:12 (46)
Кросавчеги У любителей тащить в рот сертификаты автоматом очко на минус уже наве, Онаним., 01-Ноя-22, 23:56 (49) //
- Хотя там и клиентского будет достаточно К счастью, дело ограничилось 4 байтами , Онаним., 01-Ноя-22, 23:58 (51) //
  - Эх, недоработали современные вебмакаки В версии 4 сделают побольше переполнен, Аноним, 02-Ноя-22, 09:46 (86)
А нельзя как-то добавить в C типы данных вроде срез и проверять переполнение, а , Аноним, 02-Ноя-22, 01:46 (52) //
- Зачем что-то добавлять оно уже давно есть, зовется с , Аноним, 02-Ноя-22, 02:21 (54) //
  - Из с нужно как-то убрать сишные указатели на начало последовательности элемент, Аноним, 02-Ноя-22, 07:11 (65) //
    - std span, Аноним, 02-Ноя-22, 08:18 (73)
    - Если для ваших задач не нужен именно C , это не значит, что и всем остальным дл, Аноним, 02-Ноя-22, 08:53 (76)
      - как говорится никогда не говорите никогда master, slave, blacklist и кто зна, Аноним, 02-Ноя-22, 09:39 (83)
      - Причем здесь терминология Паскаль например тоже больше 50 лет назад появился Н, Аноним, 02-Ноя-22, 10:15 (93)
        
        А в С строки и вектора они появились только в стандарте C 2003, Аноним, 02-Ноя-22, 10:21 (95)
        В 2012 на С еще в каждой крупной библиотеке еще изобретали свои строки вместо , Аноним, 02-Ноя-22, 10:24 (96)
        
        Кутэ тому пример , Аноним, 02-Ноя-22, 10:50 (99)
        
        ладно qt, свои строки были даже в Ogre 3D и вроде бы wxwidget Ну вот зачем библи, Аноним, 02-Ноя-22, 16:04 (120)
        Когда Qt разрабатывали std string ещё небыло , Аноним, 02-Ноя-22, 18:48 (131)
        
        Это просто показывает насколько удобна, продумана и универсальна эталонная реали, Аноним, 02-Ноя-22, 13:28 (106)
        
        Или то насколько сложно перевести уже существующий продукт на новую библиотеку с, Аноним, 02-Ноя-22, 18:50 (133)
    - Очень простой рецепт не используй указатели , Аноним, 02-Ноя-22, 09:41 (84)
    - Зачем убирать Просто не используй , Аноним, 02-Ноя-22, 18:44 (130)
- Многого хотите - в Си ещё строки не определены в базовых типах До сих пор польз, iZEN, 02-Ноя-22, 09:18 (81) //
  - А паскаль-то не так уж и плох, как его ругают сишники , Аноним, 02-Ноя-22, 09:45 (85) //
    - Просто в Паскале компилятор самолично высчитывает длину строки А в Си компилято, Аноним, 03-Ноя-22, 16:14 (150)
      - На самом деле Си транслятор точно так же знает длину 171 строки 187 на этапе, n00by, 03-Ноя-22, 17:25 (151)
  - Потому что строки это синтаксический сахар Есть только области памяти с данными,, Ivan_83, 02-Ноя-22, 11:09 (101) //
    - Ошибаешься , Аноним, 02-Ноя-22, 12:03 (104)
      - Он не ошибается А твоё умозаключение приведёт тебя прямиком в ООП языки , Аноним, 03-Ноя-22, 16:12 (149)
        
        фу фу фу, не надо тогда нам этого сахара сегодня сахарка поюзал, а завтра уже с, Аноним, 04-Ноя-22, 02:00 (155)
Уязвимость не стали признавать критической только потому что в ubuntu и redhat в, Аноним, 02-Ноя-22, 10:09 (91) //
- И всё, точка , Аноним, 02-Ноя-22, 10:12 (92)
Лично мне кажется что чем больше выполняется проверок компилятором и статическим, Аноним, 02-Ноя-22, 10:35 (97) //
- Теперь ты понимаешь, почему растаманы не смогли сделать очередной божественный я, Аноним, 02-Ноя-22, 10:48 (98) //
  - мне всё равно что там не смогли сделать растоманы в kotlin очень много проверок, Аноним, 02-Ноя-22, 11:58 (102) //
    - софта на котлине - как на брейнфаке , Аноним, 02-Ноя-22, 12:02 (103)
      - Это ты так решил , Аноним, 02-Ноя-22, 14:30 (117)
        
        Это котлята столько написали , Аноним, 02-Ноя-22, 17:16 (127)
      - Значительная часть мобильных приложений для андроид, некоторые для ios через kot, Аноним, 02-Ноя-22, 16:00 (119)
        
        В моей организации 100500 работников и 9000 манагеров - и никто котлин не исполь, Аноним, 02-Ноя-22, 17:18 (128)
Переходим на bearssl Долой выделение памяти , Аноним, 02-Ноя-22, 16:27 (122)
Братья сишники спасайте, мне что теперь, от телефона отказываться In Android, Kl, Аноним, 03-Ноя-22, 08:12 (143) //
- Переходить на iphone, там нет ненавистного местным экспертам раста, Аноним, 03-Ноя-22, 15:32 (148)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру