The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление LibreSSL 2.1.5

18.03.2015 12:08

Разработчики проекта OpenBSD представили выпуск переносимой редакции пакета LibreSSL 2.1.5, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Новая версия в основном носит корректирующий характер и исправляет проблемы перед созданием ветки LibreSSL 2.2, которая будет развиваться параллельно с OpenBSD 5.8. Из изменений можно отметить только улучшение поддержки платформы Windows и запрет на использование серверных DH-ключей, размером менее 1024 бит.

В LibreSSL 2.1.5 также возможно устранена уязвимость, исправление которой ожидается в завтрашнем выпуске OpenSSL. Разработчики OpenSSL выпустили предварительное предупреждение, в котором уведомили пользователей о выходе 19 марта обновлений OpenSSL 1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf, в которых будут устранены уязвимости, одна из которых отмечена как опасная. Детали о новых уязвимостях в OpenSSL пока неизвестны, в том числе разработчикам LibreSSL, но они рассчитывают, что данные проблемы уже устранены в результате переработки LibreSSL.

  1. Главная ссылка к новости (http://marc.info/?l=openbsd-te...)
  2. OpenNews: Выпуск LibreSSL 2.1.4 - форка OpenSSL от проекта OpenBSD
  3. OpenNews: Выпуск LibreSSL 2.1.2, форка OpenSSL от проекта OpenBSD
  4. OpenNews: Выпуск LibreSSL 2.1.0, форка OpenSSL от проекта OpenBSD
  5. OpenNews: Разработчики LibreSSL развивают новый API ressl
  6. OpenNews: Значительный выпуск криптографической библиотеки OpenSSL 1.0.2
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/41867-libressl
Ключевые слова: libressl
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (8) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, solardiz (ok), 14:39, 18/03/2015 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +3 +/
    > одна из которых отмечена как опасная.

    Но она относится только к версии 1.0.2, которой пока мало кто пользуется:

    http://www.openwall.com/lists/oss-security/2015/03/17/2

    > Детали о новых уязвимостях в OpenSSL пока неизвестны,

    Кое-что известно:

    http://www.openwall.com/lists/oss-security/2015/03/18/5

    Пока публично говорят о четырех уязвимостях, три из которых разработчики сознательно не держат в секрете, а о четвертой стал говорить (впрочем, без подробностей, кроме CVE ID и того что это 1.0.2 server DoS) по-видимому тот кто ее нашел.

    > в том числе разработчикам LibreSSL

    Подробности об этих уязвимостях всё же переслали разработчикам LibreSSL еще вчера, см. следующее письмо в том же треде.

     
     
  • 2.2, Капитан (??), 19:00, 18/03/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    Удаленное выполнение кода или Аттака на повышение привилегий по типу RowHammer нет?
     
  • 2.3, Аноним (-), 20:28, 18/03/2015 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > впрочем, без подробностей

    Хороший повод послать такую либу (да и весь TLS) в пешее эротическое. В ней столько багов что разработчики уже стесняются об этом говорить.

     
     
  • 3.4, Капитан (??), 20:44, 18/03/2015 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Вы работник ФСБ по расшифровке трафика? ну как трудно декодировать TLSv1.2 ?
     
     
  • 4.5, Аноним (-), 22:28, 18/03/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    Я не работник ФСБ, но имею некое отношение к тематике и поэтому догадываюсь что от огроменной либы и суперсложного кода могут быть только неприятные сюрпризы. И много.

    Вон недавно опять доперли что в половине случаев шифры можно даунгрейднуть до "экспортных" (а вот это АНБ уже одобряет). В результате по состоянию на данный момент видя "https" или "ssl" как-то сильно рано делать выводы о каком либо уровне безопасности.

    Сферический TLS 1.2 в вакууме может быть был бы и не так уж плох. В допущении что легаси выкинуто и его можно реализовать без ошибок со всей этой кучей фич. А на практике будет то что и наблюдается. А какие-нибудь проприерасы вообще тихой сапой починят 10 багов и не расскажут даже в деталях что там было. Впрочем, для начала там нет уверенности что все честно.

     
  • 4.7, Товарищ майор (?), 23:57, 18/03/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    Да нет, благодаря X.509 нетрудно, пока мы можем учредить свой центр сертификации и продвинуть его сертификат в системные и браузерные бандлы.
     
  • 4.12, ПолковникВасечкин (?), 11:36, 20/03/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    Это же секретная информация, такое нельзя спрашивать!
     
  • 3.9, solardiz (ok), 03:56, 19/03/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    >> впрочем, без подробностей
    > Хороший повод послать такую либу (да и весь TLS) в пешее эротическое.
    > В ней столько багов что разработчики уже стесняются об этом говорить.

    Можно много и по делу ругать OpenSSL да и весь TLS, но повод как раз плохой. Как сказано в тексте новости, разработчики опубликуют подробности упомянутых уязвимостей завтра.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру