HIGH súlyossági besorolású biztonsági frissítést jelentett be az OpenSSL projekt

Az OpenSSL projekt a levelezőlistáján HIGH súlyossági besorolású biztonsági frissítést jelentett be az 1.1.1k verzióval, amely március 25-én jelenik meg. Az OpenSSL security policynak megfelelően a részleteket egyelőre homály fedi.

The OpenSSL project team would like to announce the forthcoming
release of OpenSSL version 1.1.1k.

This release will be made available on Thursday 25th March 2021
between 1300-1700 UTC.

OpenSSL 1.1.1k is a security-fix release. The highest severity issue
fixed in this release is HIGH:
https://www.openssl.org/policies/secpolicy.html#high

Yours

The OpenSSL Project Team

Hozzászólások

Nem lepődtem meg. Vagy ma már nem akkora hulladék az OpenSSL kódja? Kár, hogy a LibreSSL váltás lekerült a mainstream distrók napirendjéről.

Hátrányaival? Gyorsabb, kevesebb memóriát eszik, biztonságosabb, szinte biztos vagyok a karbantarthatósága is fényévekkel jobb.

Van C binding, multiplatform support se rossz (és csak jobb lesz). Persze ezen a téren nyilván a C az kb. behozhatatlan előnnyel indul, de úgyis marad arra a pár archaikus/szélsőségesen egzotikus platformra fejlesztőnek az openssl továbbra is.

Te amúgy megnyitottad legalább amit hg2ecz linkelt? Még válaszoltál is rá pedig...

Nem nyitottam. Nem volt semmi ellenvetésem az ellen, hogy átírják Rust-ba, sőt.

Az OpenSSL kódjával egyébként köztudottan igen komoly bajok vannak, az erőforrásigénytől függetlenül is.

Meg mernék esküdni, hogy ezt írtam én is...

szinte biztos vagyok a karbantarthatósága is fényévekkel jobb

Arról a nyelvről beszélünk, amiből kb. havonta van új release, és az alkalmazások annyira "rá vannak írva" egy-egy verzióra, hogy ha nekem 3 alkalmazás kell, akkor azoknak nem jó a legfrissebb, legutolsó Rust verzió, hanem mindegyiknek a saját kis kedvence fix release-ére lesz szüksége, és így akár 3 külön verziót is fel kell raknom?

Ezt ugye csak egy viccnek szántad?

Szerintem nem arról a nyelvről beszélünk.

Rustnál inkább olyan szokott lenni, hogy valami új, csillogó feature kell a kedves fejlesztőnek, ezért előírja, hogy használd a nightly Rustot, amíg be nem kerül stablebe ami kell neki. Legalábbis ~2 éve, amikor még aktívan pakolták az új dolgokat a nyelvbe, ez volt a tapasztalatom (akkoriban játszottam vele).

Olyan, hogy régebbi verzió kellett volna az alkalmazás fordításához, az 1.0 óta nekem nem jött szembe.