The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Выпуск LibreSSL 2.3.0"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск LibreSSL 2.3.0"  +/
Сообщение от opennews (??) on 24-Сен-15, 10:44 
Разработчики проекта OpenBSD представили (https://marc.info/?l=openbsd-announce&m=144304330731220&w=2) выпуск переносимой редакции пакета LibreSSL 2.3.0 (http://www.libressl.org/), в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы.


Новая ветка ознаменовала начало разработки версии, которая будет развиваться параллельно с OpenBSD 5.9 и войдёт в состав данного релиза. Ветка 2.3.x позиционируется как экспериментальная и дополняет стабильные ветки 2.2.x и 2.1.x (стабилизация ABI/API LibreSSL 2.3.x ожидается в марте 2016 года).


Ключевые изменения:


-  Удалён код, обеспечивающий поддержку SSLv3 и SHA-0;
-  Внесены изменения в API libtls: добавлена поддержка верификации на стороне клиента (клиент инициирует передачу сертификата серверу), улучшена работа вызовов tls_read/write при использовании внешних библиотек с реализацией моделей асинхронной обработки событий;
-  Добавлены дополнительные проверки параметров "p" и "q" сериализированных ключей DSA;

-  Прекращена поддержка DTLS_BAD_VER (реализации до выпуска DTLSv1);
-  В утилите openssl прекращена поддержка команды engine;

-  Добавлен интерфейс OPENSSL_cpu_caps, запрещающий изменение флагов CPU из связанного с библиотекой приложения. Удалены вызовы    OPENSSL_ia32cap и OPENSSL_ia32cap_loc;


-  Утилита 'nc', которую можно использовать в качестве простой замены команд 'openssl s_client' и 'openssl s_server', переведена на использование библиотеки  libtls для клиентских и серверных операций, и включена в состав архива libressl-portable в качестве примера использования libtls.

URL: https://marc.info/?l=openbsd-announce&m=144304330731220&w=2
Новость: http://www.opennet.me/opennews/art.shtml?num=43025

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Выпуск LibreSSL 2.3.0"  +2 +/
Сообщение от Аноним (??) on 24-Сен-15, 10:44 
Вот уже 3 релиза слышу про SSLv3. Так и не могут выпилить?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Выпуск LibreSSL 2.3.0"  +/
Сообщение от . on 24-Сен-15, 12:19 
мне вот вообще неясно, зачем его героически выпиливать.
Существует куча исторического дерьма, где никаких других протоколов нет и не будет - потому что это железные appliance, древние софтины все-в-одном с вымершими разработчиками и т д.
Запретить случайное использование - да, сделать сборку требующей специальных телодвижений - ну-у-у-у, хрен знает, стоит ли этот геморрой свеч, а выпиливать вовсе - значит тем, кому оно на самом деле нужно, придется держать зоопарк. Популярности libressl это не прибавит ничуть.

При этом есть как минимум уже одна серьезная проблема, связанная с этим выпиливанием. Известна она - разработчикам nginx, в libressl не сдана, потому что тем пофиг. А это, вполне возможно - дыра для эксплойтов.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Выпуск LibreSSL 2.3.0"  +/
Сообщение от Snaut (ok) on 24-Сен-15, 12:25 
Абсолютно согласен. Необходимо оставить поддержку. Отключить по умолчанию в сборе - да. Но не совсем выпилить. Популярности точно не прибавит.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Выпуск LibreSSL 2.3.0"  +/
Сообщение от . on 24-Сен-15, 12:34 
ну, в stable-ветке она кое-как оставлена, но, скажем, собрать любой распространенный браузер с ней не получится.
Угадайте, куда я пошлю идею на этом основании, к примеру, выбросить на помойку пару стоек серверов, у которых встроенный kvm поддерживает только и исключительно ssl3? При том что в public он, разумеется, не торчит, и ssl3 там вполне достаточен - защищает от случайного раскрытия данных, а от целенаправленной атаки есть другие меры.
Поэтому на помойку полетит именно libressl. Жаль, но выбора нет.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

13. "Выпуск LibreSSL 2.3.0"  +1 +/
Сообщение от Elhana (ok) on 25-Сен-15, 15:01 
Firefox 39: Removed support for insecure SSLv3 for network.
Chrome вроде аналогично, хотя я не искал специально.
Слишком много на помойку выкидывать придется - может так получится, что дешевле выкинуть пару стоек серверов.

Выбор всегда есть - поставьте себе отдельный доисторический браузер с доисторической версией openssl или прокси и ходите на свое говножелезо.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

6. "Выпуск LibreSSL 2.3.0"  +5 +/
Сообщение от andy (??) on 24-Сен-15, 12:25 
> мне вот вообще неясно, зачем его героически выпиливать.

ему сказали adieu!
https://tools.ietf.org/html/rfc7568

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "Выпуск LibreSSL 2.3.0"  +/
Сообщение от Аноним (??) on 24-Сен-15, 13:32 
Если бы мсье был хоть немного осведомлен о проекте OpenBSD, в рамках которого развивается LibreSSL, то знал бы, что это сообщество разработчиков, которое пытается сделать ПО лучше, жертвуя обратной совместимостью (и прочим подобным) в угоду пользе, во всяком случае так его позиционирует Тео. Если кому-то требуется работа с кучей исторического ПО - проследуйте в OpenSSL, благо он еще есть, а лучше перестаньте есть кактус.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

10. "Выпуск LibreSSL 2.3.0"  +1 +/
Сообщение от . on 24-Сен-15, 15:00 
мсье в достаточной степени знаком с openbsd, чтобы понять что вы несете полный бред. И ни Тео, ни кто другой ее никогда так не позиционировал. Как и libressl. Вот про "десять лет без эксплойтов выключенной из розетки системы" - это было, да.
А тому, чего ради эту затею на самом деле затевали - героическое "избавление от ssl3" скорее вредит, segfault'ы в nginx (в libressl из него некошерно вызываемой, на самом деле) тому подтверждение. Возможно - exploitable, никому "недосуг" разобраться.

Нет, работа с "кучей исторического ПО" не требуется (историческое ПО прекрасно соберется с историческими версиями библиотек и вряд ли - с современными), вы, видимо в силу весьма ограниченных знаний о мире, не осилили понять, о чем речь.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Выпуск LibreSSL 2.3.0"  +/
Сообщение от cvsup1 on 24-Сен-15, 18:19 
Подробнее про segfault'ы ?
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Выпуск LibreSSL 2.3.0"  +/
Сообщение от . on 25-Сен-15, 14:29 
http://forum.nginx.org/read.php?2,256381,256381

там мало подробностей, но вполне достаточно информации чтобы человек, обладающий должной квалификацией, разобрался. А у кого ее нет - не сможет зарепортить openbsd'шникам так чтоб его не послали, так что может не тратить время.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Выпуск LibreSSL 2.3.0"  +/
Сообщение от cvsup1 on 25-Сен-15, 20:20 
Тамошний топикстартер проигнорировал просьбы предоставить
отладочную информацию, ну и ссзб, что тут сказать.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

16. "Выпуск LibreSSL 2.3.0"  +/
Сообщение от . on 28-Сен-15, 12:06 
тамошний топикстартер решил _свою_ проблему - таки уговорил воткнуть (мое) исправление в код nginx, которое просто заметает мусор под ковер - nginx перестает падать в этом месте. А решать проблему в самой libressl ни у него, ни у меня времени и вдохновения не возникло.

Еще раз - там достаточно информации чтобы любой желающий и имеющий достаточные знания мог воспроизвести проблему и убедиться. Если вы не хотите этого делать или у вас нет квалификации - я не настроен вас просвещать.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

2. "Выпуск LibreSSL 2.3.0"  –1 +/
Сообщение от Аноним (??) on 24-Сен-15, 11:23 
Есть идея на два миллиарда баксов. Надо следующую версию назвать 231
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Выпуск LibreSSL 2.3.0"  +3 +/
Сообщение от Аноним (??) on 24-Сен-15, 12:09 
Леннарт, ты что ли?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Выпуск LibreSSL 2.3.0"  +2 +/
Сообщение от Аноним (??) on 24-Сен-15, 13:01 
Нет, его начальник. Леннарт на процедурах.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

15. "Выпуск LibreSSL 2.3.0"  +/
Сообщение от Аноним (??) on 26-Сен-15, 21:00 
Пусть выпиливают все что считают ненужным, так можно держать код в чистоте, а вот те кому нужен старых код должны его сами поддерживать. Чистота кода значит меньше ошибок.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру