Разработчики проекта OpenBSD представили (http://marc.info/?l=openbsd-announce&m=143404058913441&w=2) выпуск переносимой редакции пакета http://www.libressl.org/ LibreSSL 2.2.0, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Новая версия будет развиваться параллельно с OpenBSD 5.8 и войдёт в состав данного релиза. Одновременно доступен корректирующий выпуск LibreSSL 2.1.7, в котором отпражены исправления, связанные с устранением уязвимости. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы.
Среди новшеств, представленных в выпуске LibreSSL 2.2.0:
- Поддержка платформ AIX и Cygwin;
- Переработка сборочных макросов. Поддержка формирования независимых пакетов с libtls, является первым шагом на пути к обеспечению сборки и работы OpenSSL с libtls;
- Удаление OPENSSL_issetugid и всех вызовов getenv из библиотеки, приложения отныне не могут изменять поведение библиотеки через переменные окружения. В утилите openssl поддержка переменных окружения OPENSSL_CONF/SSLEAY_CONF сохранена;
- Дополнено API и документация по libtls;
- Устранены уязвимости, на днях представленные в корректирующих обновлениях к OpenSSL: CVE-2015-1788 (зацикливание при разборе ECParameters), CVE-2015-1789 (чтение вне границ буфер в X509_cmp_time) и CVE-2015-1792 (зацикливании при проверке CMS). Проблемы CVE-2015-4000, CVE-2015-1790 и CVE-2014-8176 не затронули LibreSSL. Применимость уязвимости CVE-2015-1791 (состояние гонки при обработке NewSessionTicket) пока рассматривается разработчиками.Отмечается, что LibreSSL 2.2.0 является последним выпуском, в котором присутствует поддержка SSLv3, в дальнейшем связанный с SSLv3 код будет полностью удалён из кодовой базы.
URL: http://undeadly.org/cgi?action=article&sid=20150611185210
Новость: http://www.opennet.me/opennews/art.shtml?num=42412
> Поддержка платформ AIX и Cygwin;А это не они на заре LibreSSL занимались выпиливанием ненужного? Теперь снова запиливают?
При чем тут ненужный код? да и наверняка там 99% поддержки - это autoconf related changes
> Отмечается, что LibreSSL 2.2.0 является последним выпуском, в котором присутствует поддержка SSLv3, в дальнейшем связанный с SSLv3 код будет полностью удалён из кодовой базы.уже и SSLv3 хотят удалить, а библитека (libressl) всё ни как не войдёт в дистрибутивы.. ооххх..
Ну почему же? http://software.opensuse.org/package/libressl
>> Отмечается, что LibreSSL 2.2.0 является последним выпуском, в котором присутствует поддержка SSLv3, в дальнейшем связанный с SSLv3 код будет полностью удалён из кодовой базы.
> уже и SSLv3 хотят удалить, а библитека (libressl) всё ни как не
> войдёт в дистрибутивы.. ооххх..ДистрибутивОМ, для которого оно сделано, является OpenBSD. И там оно есть.
Портированная версия - это "берите, кто хотите". И это уже личное дело дистрибутивов, ибо libressl делают, прежде всего, для OpenBSD, для своих нужд и своих задач (чужая OpenSSL - не устраивает категорически).
ну тут такой замкнутый круг (который размыкается, потихоньку, но очень медленно):дистрибутивы -- не хотят брать libressl до тех пор пока прикладные софты не научатся с этим работать (совместимость не полная с openssl).
прикладные софты -- особо не чешутся до тех пор пока в дистрибутивах нет этого libressl :-) .
вообщем -- дальшейшая судьбва libressl в дистрибутивах -- довольна туманная.
Ванга подсказывает мне:
когда основные прикладные софты будут готовы к libressl (избавятся от несовместимостей). наступит некоторый переломный момент, который будет характеризоваться стагнацией!
весь остальной прикладной софт (который так и не подготовился к libressl) -- так и будет оставаться неподготовленным к libressl...
...и вот тогда -- возникает вопрос: что дистрибутивам-то делать-то останеться? какой такой толчёк заставит их перейти на libressl?
должен найтись какой-то один смелый дистрибутив (не *BSD, и не suse\mandriva-какая-нибудь-там) , который таки-вопреки всему перейдёт на libressl! и за этим героем потянутся!
Найдётся какой-то один смелый человек (Ленарт?), который-таки вопреки всему напишет systemd-tlsd. И за этим героем потянутся! :)
На самом деле, достаточно сделать прозрачную поддержку оной библиотеки php, python, ruby и nginx и она достаточно быстро найдет себе место во всяких docker-контейнерах, где и так довольно часто ключевой софт собирается вручную с нужными патчами.
> На самом деле, достаточно сделать прозрачную поддержку оной библиотеки php, python, ruby
> и nginx и она достаточно быстро найдет себе место во всяких
> docker-контейнерах, где и так довольно часто ключевой софт собирается вручную с
> нужными патчами.для Python вроде бы уже! (ну или по крайней мере работа такая велась)
а как там дела -- в PHP, в Ruby, в Nginx ?
> ну тут такой замкнутый круг (который размыкается, потихоньку, но очень медленно):та какая вообще разница. портабле версии libressl, openssh, tmux и прочего, что развивается в основном ядре OpenBSD появляются только потому, что кому-то иногда просто нечего делать :), вот и решают - а давайте релиз нарежем :)
> должен найтись какой-то один смелый дистрибутив (не *BSD, и не suse\mandriva-какая-нибудь-там) , который таки-вопреки всему перейдёт на libressl! и за этим героем потянутся!
у меня есть такое ощущение, что вы чего-то не понимаете. только понять не могу, чего. изучать детально libressl мне сейчас что-то не хочется, так что оставайтесь в неведении и дальше :)
> у меня есть такое ощущение, что вы чего-то не понимаете. только понять не могу, чего. изучать детально libressl мне сейчас что-то не хочется, так что оставайтесь в неведении и дальше :)у меня такое ощущение будто вы мне что-то хотели сказать, но только не могу понять что же именно... ... ... :-)