форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновление LibreSSL 2.1.5"	+/–
Сообщение от opennews (ok) on 18-Мрт-15, 14:39
Разработчики проекта OpenBSD представили (http://marc.info/?l=openbsd-tech&m=142655686417434)  выпуск переносимой редакции пакета LibreSSL 2.1.5 (http://www.libressl.org/), в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Новая версия в основном носит корректирующий характер и исправляет проблемы перед созданием ветки LibreSSL 2.2, которая будет развиваться параллельно с OpenBSD 5.8.  Из изменений можно отметить только улучшение поддержки платформы Windows и запрет на использование серверных DH-ключей, размером менее 1024 бит. В LibreSSL 2.1.5 также возможно устранена уязвимость, исправление которой ожидается в завтрашнем выпуске OpenSSL. Разработчики OpenSSL выпустили (https://mta.openssl.org/pipermail/openssl-announce/2015-Marc...) предварительное предупреждение, в котором уведомили пользователей о выходе 19 марта обновлений OpenSSL  1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf, в которых будут устранены уязвимости, одна из которых отмечена как опасная. Детали о новых уязвимостях в OpenSSL пока неизвестны, в том числе разработчикам LibreSSL, но они рассчитывают (http://marc.info/?l=openbsd-misc&m=142654095813320&w=2), что данные проблемы уже устранены в результате переработки LibreSSL. URL: http://marc.info/?l=openbsd-tech&m=142655686417434 Новость: http://www.opennet.ru/opennews/art.shtml?num=41867
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по ответам | RSS]

	1. "Обновление LibreSSL 2.1.5"	+3 +/–
	Сообщение от solardiz (ok) on 18-Мрт-15, 14:39
	> одна из которых отмечена как опасная. Но она относится только к версии 1.0.2, которой пока мало кто пользуется: http://www.openwall.com/lists/oss-security/2015/03/17/2 > Детали о новых уязвимостях в OpenSSL пока неизвестны, Кое-что известно: http://www.openwall.com/lists/oss-security/2015/03/18/5 Пока публично говорят о четырех уязвимостях, три из которых разработчики сознательно не держат в секрете, а о четвертой стал говорить (впрочем, без подробностей, кроме CVE ID и того что это 1.0.2 server DoS) по-видимому тот кто ее нашел. > в том числе разработчикам LibreSSL Подробности об этих уязвимостях всё же переслали разработчикам LibreSSL еще вчера, см. следующее письмо в том же треде.
	Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Обновление LibreSSL 2.1.5"	+/–
	Сообщение от Капитан (??) on 18-Мрт-15, 19:00
	Удаленное выполнение кода или Аттака на повышение привилегий по типу RowHammer нет?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Обновление LibreSSL 2.1.5"	+1 +/–
	Сообщение от Аноним (??) on 18-Мрт-15, 20:28
	> впрочем, без подробностей Хороший повод послать такую либу (да и весь TLS) в пешее эротическое. В ней столько багов что разработчики уже стесняются об этом говорить.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	4. "Обновление LibreSSL 2.1.5"	+1 +/–
	Сообщение от Капитан (??) on 18-Мрт-15, 20:44
	Вы работник ФСБ по расшифровке трафика? ну как трудно декодировать TLSv1.2 ?
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Обновление LibreSSL 2.1.5"	+/–
	Сообщение от Аноним (??) on 18-Мрт-15, 22:28
	Я не работник ФСБ, но имею некое отношение к тематике и поэтому догадываюсь что от огроменной либы и суперсложного кода могут быть только неприятные сюрпризы. И много. Вон недавно опять доперли что в половине случаев шифры можно даунгрейднуть до "экспортных" (а вот это АНБ уже одобряет). В результате по состоянию на данный момент видя "https" или "ssl" как-то сильно рано делать выводы о каком либо уровне безопасности. Сферический TLS 1.2 в вакууме может быть был бы и не так уж плох. В допущении что легаси выкинуто и его можно реализовать без ошибок со всей этой кучей фич. А на практике будет то что и наблюдается. А какие-нибудь проприерасы вообще тихой сапой починят 10 багов и не расскажут даже в деталях что там было. Впрочем, для начала там нет уверенности что все честно.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "Обновление LibreSSL 2.1.5"	+/–
	Сообщение от Товарищ майор on 18-Мрт-15, 23:57
	Да нет, благодаря X.509 нетрудно, пока мы можем учредить свой центр сертификации и продвинуть его сертификат в системные и браузерные бандлы.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	9. "Обновление LibreSSL 2.1.5"	+/–
	Сообщение от solardiz (ok) on 19-Мрт-15, 03:56
	>> впрочем, без подробностей > Хороший повод послать такую либу (да и весь TLS) в пешее эротическое. > В ней столько багов что разработчики уже стесняются об этом говорить. Можно много и по делу ругать OpenSSL да и весь TLS, но повод как раз плохой. Как сказано в тексте новости, разработчики опубликуют подробности упомянутых уязвимостей завтра.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	12. "Обновление LibreSSL 2.1.5"	+/–
	Сообщение от ПолковникВасечкин on 20-Мрт-15, 11:36
	Это же секретная информация, такое нельзя спрашивать!
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема