Databáze DuckDB (Wikipedie) dospěla po 6 letech do verze 1.0.0.
Intel na veletrhu Computex 2024 představil (YouTube) mimo jiné procesory Lunar Lake a Xeon 6.
Na blogu Raspberry Pi byl představen Raspberry Pi AI Kit určený vlastníkům Raspberry Pi 5, kteří na něm chtějí experimentovat se světem neuronových sítí, umělé inteligence a strojového učení. Jedná se o spolupráci se společností Hailo. Cena AI Kitu je 70 dolarů.
Byla vydána nová verze 14.1 svobodného unixového operačního systému FreeBSD. Podrobný přehled novinek v poznámkách k vydání.
Společnost Kaspersky vydala svůj bezplatný Virus Removal Tool (KVRT) také pro Linux.
Grafický editor dokumentů LyX, založený na TeXu, byl vydán ve verzi 2.4.0 shrnující změny za šest let vývoje. Novinky zahrnují podporu Unicode jako výchozí, export do ePub či DocBook 5 a velké množství vylepšení uživatelského rozhraní a prvků editoru samotného (např. rovnic, tabulek, citací).
Byla vydána (𝕏) nová verze 7.0 LTS open source monitorovacího systému Zabbix (Wikipedie). Přehled novinek v oznámení na webu, v poznámkách k vydání a v aktualizované dokumentaci.
Organizace Apache Software Foundation (ASF) vydala verzi 22 integrovaného vývojového prostředí a vývojové platformy napsané v Javě NetBeans (Wikipedie). Přehled novinek na GitHubu. Instalovat lze také ze Snapcraftu a Flathubu.
Společnost AMD na veletrhu Computex 2024 představila (YouTube) mimo jiné nové série procesorů pro desktopy AMD Ryzen 9000 a notebooky AMD Ryzen AI 300.
OpenCV (Open Source Computer Vision, Wikipedie), tj. open source multiplatformní knihovna pro zpracování obrazu a počítačové vidění, byla vydána ve verzi 4.10.0 . Přehled novinek v ChangeLogu. Vypíchnout lze Wayland backend pro Linux.
Vývojový tým OpenSSL informuje, že ve čtvrtek 10. listopadu odpoledne bude vydána verze 1.1.0c kryptografické knihovny OpenSSL. Opraveno bude několik bezpečnostních chyb. Jedna z nich je závažná. Větve 1.0.2 a 1.0.1 tuto chybu neobsahují.
Tiskni Sdílej:
Naopak, vis jak to ted bude secure?
Zvyseny pocet lidi hledajicich bugy v OpenSSL je sice hezky, nicmene porad je to z velke casti adresovani dusledku misto pricin.A k tomu jste dosel jak?
Oni to proste resi typickym zpusobem "mame hodne bugu --> musime vic opravovat bugy" a bud ignoruji souvislost vyskytu bugu se stavem a komplexitou kodu, nebo ten stav z ruznych politickych duvodu nechteji zlepsit.A k tomu jste dosel jak? Pohled do logu repositaru tomu nenasvedcuje, dela se postupny refaktoring existujiciho kodu. Prave ten smer, kdy vice spolecnych chyb je objeveno v OpenSSL spise ukazuje, ze to delaji dusledneji, cemuz samozrejme nahrava i vetsi uzivatelska zakladna.
Myslim, ze uz jsem tady o tom vedl dlouhou diskusi kvuli jejich neodstraneni SSLv2.To neni otazka knihovny, ale programu co ji pouzivaji.
Kdyz je to defaultne vypnute, tak je to dalsi neodstraneny balast, ktery ani neslouzi ucelu, ke kteremu se ta knihovna primarne pouziva.To je uplny nesmysl. Je naprosto bezne u vetsiny knihoven, ze nektera funkcionalita je volitelna. Nerozhoduje defaultni konfigurace, kterou lze snadno zmenit, ale to jestli je vyvojovym teamem funkcionalita aktivne podporovana - pokud neni a kod neni jiz udrzovan, pak by mela jit pryc, jinak neni duvod.
Shazovani vseho na autora aplikace je postoj, ktery nijak nevyresi vysledny problem. Autor knihovny ma moznost ovlivnit bezpecnost, a muze s ni zodpovedne nalozit.V tom se neshodnem. To je takovy nabubrely patronismus ve smyslu "My vime co je pro vas dobre a tak to budete muset delat". Podle vaseho pristupu by melo smysl vyhazet se vsech knihoven treba MD5, protoze neposkytuje v soucasnosti v rade uziti dostatecne zabezpeceni - coz je fakt - ale presto si myslim, ze by to byl stejny kretenismus. Staci informovat o vyhodach a nevyhodach, a nechat uzivatele rozhodnout a postupne dojde k omezeni uziti v kritickych scenarich.
Do toho kontextu ovšem patří i to, že pak máte v knihovně spoustu kódu, který se prakticky nepoužívá, může se rozbít s každou opravou, může opravy komplikovat a tím třeba způsobit, že oprava bude chybná, a může představovat i cestu pro napadení knihovny, i když daný uživatel danou funkcionalitu nepoužívá (pokud ji má zakompilovanou).To je otazka pro maintanery OpenSSL, pokud to chteji a jsou schopni udrzovat, a to ze mene kodu znamena mene pripadnych problemu je jiste znamo i jim. Uzivatel knihovny, tedy treba distribuce, to nemusi kompilovat a konecny uzivatel nastavovat.
Pokud je pro někoho přijatelné riziko provozovat něco na SSLv2, je pro něj i přijatelné riziko provozovat to na staré verzi OpenSSL.To rozhodne nikoliv, zejmena u sdilene knihovny podporujici i jine protokoly, vyuzivane vice aplikacemi s ruznym nasazenim.
Protože tam pořád platí, že tu komunikaci hackne každý, kdo se k ní dostane, a horší už to být nemůže.Ano, je to v soucasnosti slabe zabezpeceni, ale aplikace stale funguji. S tim "kazdy" bych byl opatrny.
To rozhodne nikoliv, zejmena u sdilene knihovny podporujici i jine protokoly, vyuzivane vice aplikacemi s ruznym nasazenim.V takovém případě má být nainstalováno více verzí knihovny a tu nebezpečnou má používat výhradně ta aplikace, která ji potřebuje. Pokud by tu nebezpečnou verzi knihovny sdílely i ostatní aplikace, je to přesně ten nejsilnější důvod, proč by podpora těch děravých protokolů měla být odstraněna. Protože vy odůvodníte nutnost podpory SSLv2 pro jednu aplikaci, u které to třeba nevadí, protože se používá jenom interně, ale vedle toho pak můžete provozovat jiné aplikace, třeba veřejně dostupné z internetu – a těm také dáte OpenSSL s podporou SSLv2. A rázem jste problém rozšířil z aplikace, u které na bezpečnosti nezáleží, na nějakou podstatnou aplikaci, která má být bezpečná. Úplně stačí taková prkotina, jako že ta aplikace nebude řešit, jaké protokoly jsou povolené, a povolí vše, co poskytuje OpenSSL. To je tedy přesně ten důvod, proč by taková legacy aplikace měla být provozována v odděleném prostředí se speciální nebezpečnou verzí OpenSSL a správce by si měl být dobře vědom toho, že je to nezabezpečená aplikace a že k ní nic jiného nepatří.
V takovém případě má být nainstalováno více verzí knihovny a tu nebezpečnou má používat výhradně ta aplikace, která ji potřebuje.Pokud je knihovna a jeji kod udrzovan, neni nebezpecna, nebezpecna jsou aplikace, ktere ji pouzivaji neadekvatnim zpusobem.
Protože vy odůvodníte nutnost podpory SSLv2 pro jednu aplikaci, u které to třeba nevadí, protože se používá jenom interně, ale vedle toho pak můžete provozovat jiné aplikace, třeba veřejně dostupné z internetu – a těm také dáte OpenSSL s podporou SSLv2. A rázem jste problém rozšířil z aplikace, u které na bezpečnosti nezáleží, na nějakou podstatnou aplikaci, která má být bezpečná. Úplně stačí taková prkotina, jako že ta aplikace nebude řešit, jaké protokoly jsou povolené, a povolí vše, co poskytuje OpenSSL.Tvrdil jsem, ze riziko je treba posuzovat v kontextu, udrzovani podpory starsich protokolu v knihovne ma smysl, zbytek je ilustrace, kterou lze rozebirat do nekonecna. Vase reseni, ktere take stale vyzaduje mit podporu v kodu OpenSSL, je fajn, i kdyz za lepsi cestu do budoucna povazuji restriktivni sandboxing vsech sluzeb, vcetne povolenych protokolu, s globalni konfiguraci, pod kontrolou administratora - tohle neni prvni ani posledni protokol, ktery je oslaben ci prolomen.
a správce by si měl být dobře vědom toho, že je to nezabezpečená aplikace a že k ní nic jiného nepatří.Vetsina bezpecnostnich problemu je zpusobena neudrzovanymi servery a tam je nutne hledat reseni. Spravce nema zapnout podporu SSLv2 v konfiguraci aplikace, pouzit reseni jako stunnel a pokud musi podporovat starsi aplikace potrebujici SSLv2, je treba je povazovat za nezabezpecene se vsemi dusledky.
Vase reseni, ktere take stale vyzaduje mit podporu v kodu OpenSSLNe, moje řešení znamená vyhodit z OpenSSL podporu SSLv2 a v aplikacích, které SSLv2 stále používají, používat starou verzi OpenSSL, která SSLv2 ještě má. Protože když aplikace používá SSLv2, je už jedno, že používá děravou knihovnu – protože ta komunikace musí stejně být zabezpečena ještě jinak. Považuju za mnohem větší bezpečnostní riziko aktuální kód s podporou bezpečných protokolů, který je společný s kódem pro podporu SSLv2, než ty staré aplikace vyžadující SSLv2 provozovat se knihovnou se známými bezpečnostními chybami. O to víc v případě projektu OpenSSL, u kterého byla v historii snaha spíš podporovat kdejaké obskurní rozšíření než důraz na bezpečnost kódu. Prostě se bojím toho, že zachování podpory SSLv2 komplikuje kód takovým způsobem, že mohou být přehlíženy bezpečnostní chyby, nebo při opravách chyb a snahách zachovat kompatibilitu i se SSLv2 vznikají chyby nové.
Je naprosto bezne u vetsiny knihoven, ze nektera funkcionalita je volitelna. Nerozhoduje defaultni konfigurace, kterou lze snadno zmenit, ale to jestli je vyvojovym teamem funkcionalita aktivne podporovana - pokud neni a kod neni jiz udrzovan, pak by mela jit pryc, jinak neni duvod.U takhle kriticke knihovny je bezpecna defaultni konfigurace naprosto zasadni - viz Heartbleed, POODLE, DROWN. A cilem by melo byt podporovat kritickou funkcionalitu a ne tunu balastu, ktera se pak negativne projevi na kodu.
V tom se neshodnem. To je takovy nabubrely patronismus ve smyslu "My vime co je pro vas dobre a tak to budete muset delat". Podle vaseho pristupu by melo smysl vyhazet se vsech knihoven treba MD5Ja jsem pro moznost nastaveni zpusobu zabezpeceni, ale SSLv2 uz proste neni funkcni zpusob zabezpeceni komunikace. MD5 ma spoustu legitimnich pripadu pouziti. Jedinne pouziti pro SSLv2 vidim u zprovoznovani starych proprietarnich exkrementu - na to bych doporucil vytvorit knihovnu libhackshit, a nezadelavat kod OpenSSL.
Jasne, kriticka zabezpecovaci knihovna podporujici zabezpecovaci protokol, ktery uz dlouho neni bezpecnyNevidim tu zadny konflikt s popisem projektu:
OpenSSL is an open source project that provides a robust, commercial-grade, and full-featured toolkit for the Transport Layer Security (TLS) and Secure Sockets Layer (SSL) protocols. It is also a general-purpose cryptography library.