LibreSSL: яагаад OpenSSL-д ямар ч шийдэл байдаггүй

цус алдалт HeartBleedGate болон уг хэрэг дээр бичигдсэн дүрүүдийн гол мөрний дараа Theo de Raadt тэргүүтэй OpenBSD-ийн хөгжүүлэгчид болох зөрүүд манга "Боломж, завхарлын тоглоомоор өөрсдийн OpenSSL-ийг хийцгээе" гэж хэлэв. Гэхдээ яаж санхүүжилт нь тэдэнд өгөхгүй мөрийтэй тоглоом, завхайрлын хувьд тэдэнд дуудах OpenSSL-ийн зөвхөн сэрээ үлдсэн байв LibreSSL програм Эхний ээлжинд энэ нь OpenBSD 5.6-д зориулагдсан бөгөөд хэрэв бүх зүйл хэвийн байвал бусад POSIX системд, түүний дотор мэдээж Линуксд зориулагдах болно.

Үнэн хэрэгтээ OpenBSD-ийн хөгжүүлэгч Тед Уангст нь Heartbleed байсан гэж дурдсан байдаг жил бүр явагддаг OpenSSL гамшгийн алдаануудын зөвхөн нэг нь энэ алдаа нь сэрээ хийх шалтгаан биш байсан. Тедийн анхаарлаа төвлөрүүлсэн алдаа (сэрээ үүсгэж болзошгүй алдаа) үүнтэй холбоотой дотоод OpenSSL freelists Тэгээд юу гэж ngnix нь эдгээр фрилистуудгүйгээр ажиллахгүй. Гэхдээ хамгийн муу нь байсан OpenSSL-ээс хариу өгөөгүй байна Учир нь тэр алдаа нь санал болгосон нөхөөстэй байсан тул тэд үүнийг хараахан хэрэглээгүй байна. Энэ нөхөөс нэг жилийн хугацаанд оруулаагүй болно; OpenSSL, OpenBSD болон Debian нь өөрсдийгөө нөхөж өгдөг. Хэрэв OpenSSL хөгжүүлэгчид нөхөөсийг хэрэглээгүй бол Visual C ++ 5.0 (C програмистууд инээж чаддаг) эдгээр жишээн дээр).

Тиймээс тэд 150 мянга орчим мөр код, тоололтоос ангижирсан, ялангуяа Hewlett Packard-ийн хадгалдаг серверүүдийн хувьд жигшүүрт хаалттай үйлдлийн систем болох VMS-ийн дэмжлэгийг устгасны дараа. Х-ийг Уэйлэндтэй зүйрлэж байгаа юм шиг.

Үүний зэрэгцээ, би танд сайтыг үлдээж байна OpenSSL Valhalla Rampage OpenBSD-ийн засах гэж оролддог аймшгийн галерейтай хамт.


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

8 сэтгэгдэл, үлдээгээрэй

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно. Шаардлагатай талбарууд нь тэмдэглэгдсэн байна *

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.

  1.   eliotime3000 гэж хэлэв

    Эдгээр сэрээний ачаар LibreOffice, MariaDB гэх мэт програм хангамжууд давуу эрхтэй болсон (Slackware дээр тэд MySQL-ийг MariaDB-ээр сольсон бөгөөд ихэнх хуваарилалтад бүгд OpenOffice-ээ LibreOffice-ээр сольсон).

    1.    Mario гэж хэлэв

      Гэхдээ тэдгээр салаа нь тэд шинэ "эзэн" -ийн гарт OpenSolaris-тай адил хувь тавилан тохиохыг хүсээгүй тул энэ нь зайлшгүй зайлшгүй шаардлагатай тохиолдол байсан бөгөөд дийлэнх нь өөр хувилбарыг (үнэн хэрэгтээ түүний бүтээгчид боловч өөр нэртэй) хурдан дэмжиж байв. Энэ нь намайг OpenBSD (Raadt-ийн Тео "Линукс бол ялагдагчдад зориулав") -тай адилхан хүмүүс өөрчлөлтөө оруулаагүйдээ баяртай байгаа юм шиг намайг илүү хүчтэй татдаг. Ийм учраас FreeBSD, NetBSD, OpenBSD байдаг.

    2.    Тодорхой Лукас гэж хэлэв

      Би чамтай 100 хувь санал нийлж байна. Та тийм туйлширсан, эсвэл шүтэн бишрэгч байх албагүй.

  2.   DaCooks гэж хэлэв

    Уучлаарай, миний толгойд "Никзон, геморрой" л байсан.

  3.   Драрко гэж хэлэв

    Өнөөдөр тэд маргааны нөхөөсийг оруулсан бололтой.
    https://rt.openssl.org/Ticket/Display.html?id=2167#txn-39826

    1.    диазепан гэж хэлэв

      Мафалдагийн найз Фелипегийн хэлснээр:
      "Хүсэл зоригийг цоолох үед цоолох шаардлагатай цорын ганц зүйл байх ёстой."

  4.   Бруклинээс гэж хэлэв

    Энэ сэрээний талаархи яриаг би ойлгохгүй байна. Эцсийн эцэст, нээлттэй эхийн олон нийтийг сэрээ, нийлүүлэлтээр ийм байдлаар ажиллуулдаг. Эсрэгээрээ тэд ийм том багц хийхээр шийдсэн нь сайшаалтай санагдаж байна.

    Би OpenSSL-ийн мэргэжилтэн биш, гэхдээ Диазепаны дурдсан гурван цэгийн дагуу "Бүрэн хаалттай системийг дэмжих" (VMS), "Хуучирсан код" (Visual C ++ 5.0) "ба" Дэмжлэгийн дутагдал "гэж надад санагдаж байна. өөрөөр байж чадахгүй байсан.

    Тийм ээ, би дэмжлэг дутагдалтай байна гэж дээр дурдсан нөхөөсийг өнөөдөр оруулсан гэж хэлсэн, энэ нь хүсэлтийн жагсаалтад нэг жилээс илүү хугацаа байсан гэсэн үг биш юм. Энд байгаа хамгийн тогтвортой системүүдийн нэг болох OpenBSD нь зөвхөн OpenBSD гэдгээрээ бус BSD, мөн Debian-ыг өөрийн агуулахдаа оруулсан нь туршилтын нөхөөс биш харин тогтвортой байсан болохыг харуулж байна.

  5.   SynFlag гэж хэлэв

    Харамсалтай нь Линуксийн сан үүнийг олж харахгүй байгаа бөгөөд OpenSSL-д мөнгө хуваарилсан бөгөөд энэ нь миний бодлоор алдаа юм, тэд бараг тэгээс эхэлдэг LibreSSL-ийг дэмжиж, malloc-ийн жишээ гэх мэт OpenSSL-ийн муу зуршлуудыг эхлүүлэх хэрэгтэй.