URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 106527
[ Назад ]

Исходное сообщение
"Выпуск LibreSSL 2.3.2, 2.2.6 и 2.1.10"

Отправлено opennews , 29-Янв-16 23:06 
Разработчики проекта OpenBSD представили (http://permalink.gmane.org/gmane.os.openbsd.announce/258) выпуски переносимой редакции пакета LibreSSL 2.3.2, 2.2.6 и 2.1.10 (http://www.libressl.org/), в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы.


Из изменений в LibreSSL 2.3.2 можно отметить:

-  Добавлена поддержка появившегося в Solaris 11.3 системного вызова getentropy(2);
-   Добавлена поддержка применяемой в NetBSD 7.0 реализации arc4random(3);
      
-  Добавлена функция  EVP_aead_chacha20_poly1305_ietf() отличающаяся от похожей TLS-функции EVP_aead_chacha20_poly1305() задействованем дополнительных конструкций AEAD, определённых в RFC 7539;
-  Исключено проявление поведения, не определённого в стандартах C99+, из-за применения в AES_decrypt операции сдвига с переполнением;

-  Man-страницы переведены из  pod в формат mdoc;
-  В cert.pem добавлены корневые сертификаты удостоверяющих центров COMODO RSA Certification Authority и QuoVadis. Удалён устаревший сертификат VeriSign;

-  Добавлена поддержка сборки утилиты nc в Solaris;
-  Устранены проблемы с препроцессором GCC 5.x+;
-  Улучшена работа команды openssl в консоли Windows;


-  Формат LIBRESSL_VERSION_NUMBER приведён в соответствие с переменной OPENSSL_VERSION_NUMBER (https://wiki.openssl.org/index.php/Manual:OPENSSL_VERSION_NU...)) в OpenSSL;

-  Прекращена поддержка опции SSL_OP_SINGLE_DH_USE (см. ниже).

В версиях LibreSSL 2.2.6 и 2.1.10 добавлено только одно изменение, связанное с прекращением поддержки опции SSL_OP_SINGLE_DH_USE, которая отныне будет включена в любой ситуации. Отключение данной опции, приводило к повторному использованию параметров для алгоритма Диффи—Хеллмана (Diffie-Hellman). В LibreSSL опция SSL_OP_SINGLE_DH_USE была включена по умолчанию, а в OpenSSL отключена, что способствовало проявлению уязвимости CVE-2016-0701 (https://www.opennet.me/opennews/art.shtml?num=43777).


URL: http://permalink.gmane.org/gmane.os.openbsd.announce/258
Новость: http://www.opennet.me/opennews/art.shtml?num=43780


Содержание

Сообщения в этом обсуждении
"Выпуск LibreSSL 2.3.2, 2.2.6 и 2.1.10"
Отправлено lv7e , 29-Янв-16 23:06 
>> В LibreSSL опция SSL_OP_SINGLE_DH_USE была включена по умолчанию

Индивидуальные баги в форке - вполне предсказуемая вещь. Возможно, лучше было бы вложить труд, потраченный на работу над форком в развитие основного проекта. Либо больше внимания обращать на перенос правок относящихся к безопасности.


"Выпуск LibreSSL 2.3.2, 2.2.6 и 2.1.10"
Отправлено Аноним , 29-Янв-16 23:44 
>>> В LibreSSL опция SSL_OP_SINGLE_DH_USE была включена по умолчанию
> Индивидуальные баги в форке - вполне предсказуемая вещь.

Всё ровно наоборот, уязвимость проявляется только при отключенном SSL_OP_SINGLE_DH_USE, т.е. в LibreSSL как раз баги нет.


"Выпуск LibreSSL 2.3.2, 2.2.6 и 2.1.10"
Отправлено lv7e , 31-Янв-16 02:57 
Да, точно.

"Выпуск LibreSSL 2.3.2, 2.2.6 и 2.1.10"
Отправлено Аноним , 30-Янв-16 00:46 
Я думаю, в конечно итоге, LibreSSL станет мейнстримом, вытеснив OpenSSL. Это именно тот софт, где безопасность - первостепенна. Количество ежемесячно находимых уязвимостей в OpenSSL огорчяет

"Выпуск LibreSSL 2.3.2, 2.2.6 и 2.1.10"
Отправлено Аноним , 01-Фев-16 02:46 
Огорчает так же, как и буква "Я" после буквы "Ч".