The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Выпуск LibreSSL 2.5.0"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск LibreSSL 2.5.0"  +/
Сообщение от opennews (??) on 28-Сен-16, 11:13 
Разработчики проекта OpenBSD представили (https://marc.info/?l=openbsd-announce&m=147502086132202&w=2) выпуск переносимой редакции пакета LibreSSL 2.5.0 (http://www.libressl.org/), в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Новая ветка ознаменовала начало разработки версии, которая будет развиваться параллельно с OpenBSD 6.1 и войдёт в состав данного релиза. Ветка 2.5.x позиционируется как экспериментальная и дополняет стабильные ветки 2.3.x и 2.4.x, для которых доступны корректирующие обновления  - 2.4.3 и 2.3.8. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы.


Особенности LibreSSL 2.5.0:

-  В libtls добавлена поддержка TLS-расширениий SNI (https://ru.wikipedia.org/wiki/Server_Name_Indication) (Server Name Indicator) и ALPN (https://en.wikipedia.org/wiki/Application-Layer_Protocol_Neg...) (Application-Layer Protocol Negotiation, используется в HTTP/2);

-  В libtls добавлен новый callback-интерфейс для интеграции собственных функций ввода/вывода;
-  Для упрощения выбора надлежащих методов шифрования libtls произведено разбиение наборов шифров на четыре группы:


-       Безопасная "secure" (TLSv1.2+AEAD+PFS)
-       Совместимая "compat" (HIGH:!aNULL)
-       Устаревшая "legacy" (HIGH:MEDIUM:!aNULL)
-       Небезопасная "insecure" (ALL:!aNULL:!eNULL)

-  Библиотека  libtls теперь всегда загружает файлы удостоверяющих центров (CA), ключей и сертификатов во время вызова конфиугарционной функции;

-  Добавлена поддержка проверки валидности промежуточных сертификатов через OCSP (Online Certificate Status Protocol);


-  Из кодовой базы проекта BoringSSL импортированы функции, необходимые для работы stunnel и exim: X509_check_host, X509_check_email, X509_check_ip и X509_check_ip_asc;
-  Добавлена начальная поддержка платформы iOS;
-  Усилена обработка ошибок в tls_config_set_ciphers();

-  Улучшено поведение функции arc4random на платформе Windows;
-  Обеспечена корректная обработка обнаружения конца файла (EOF) на стадии до завершения согласования TLS-соединения;
-  Поддержка обратно совместимых c SSLv2 методов согласования соединения теперь активируется  только при включении TLS 1.0;

-  Прекращена поддержка Cryptographic Message Support (CMS).

Кроме того, в выпусках 2.5.0, 2.4.3 и 2.3.8 устранена уязвимость
(CVE-2016-6304 (https://www.opennet.me/opennews/art.shtml?num=45195)), которая может использоваться для инициирования утечки памяти. В LibreSSL проблема проявляется только при разрешении повторного согласования соединения (renegotiation), но на практике может привести лишь к небольшим утечкам памяти, так как для повторных согласований соединения действует ограничение в 3 пересогласования за 300 секунд. Другие недавно выявленные в OpenSSL уязвимости CVE-2016-6305, CVE-2016-6307, CVE-2016-6308 и CVE-2016-6309 не затрагивают  LibreSSL, а уязвимость CVE-2016-6306 была устранена ещё два года назад.  Из превентивных исправлений в LibreSSL отмечается блокировка отката на недостаточно надёжные методы хэширования для (EC)DH  при использовании SNI через libssl.

URL: https://marc.info/?l=openbsd-announce&m=147502086132202&w=2
Новость: http://www.opennet.me/opennews/art.shtml?num=45228

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Выпуск LibreSSL 2.5.0"  –4 +/
Сообщение от Аноним (??) on 28-Сен-16, 11:13 
не не, нафиг, в opensuse tumbleweed одно только удаление openssl 1.0.2h просит снести пол системы. приблуда имхо только для всяких там бсд вот пущай там и живет
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Выпуск LibreSSL 2.5.0"  +1 +/
Сообщение от pda on 28-Сен-16, 11:43 
Там же rpm. Надо просто правильно приготовить, чтобы пакет с либрой заменил openssl, одновременно объявляя о предоставлении его фич.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Выпуск LibreSSL 2.5.0"  +4 +/
Сообщение от h31 (ok) on 28-Сен-16, 12:29 
Libressl не сможет заменить openssl 1.0.2. Они несовместимы, что по API, что по ABI.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Выпуск LibreSSL 2.5.0"  +/
Сообщение от эцсамое on 28-Сен-16, 14:45 
насколько я знаю, совместимость по API планируется.

есть ссылки для подтверждения?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Выпуск LibreSSL 2.5.0"  +1 +/
Сообщение от Аноним (??) on 28-Сен-16, 15:36 
На ABI нас рать, можно пересобрать софт. С API да, жопка.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "Выпуск LibreSSL 2.5.0"  +/
Сообщение от xm (ok) on 28-Сен-16, 18:56 
Да там и с функционалом то же. Вон, только SNI добавили...
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "Выпуск LibreSSL 2.5.0"  +2 +/
Сообщение от Аноним (??) on 28-Сен-16, 19:45 
Они фичи заново переписывают и кричат, что оно на 95% безопаснее?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

15. "Выпуск LibreSSL 2.5.0"  +/
Сообщение от Аноним (??) on 28-Сен-16, 20:18 
они сперва удаляют старые фичи, потом добавляют свои с уязвимостями.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

16. "Выпуск LibreSSL 2.5.0"  +1 +/
Сообщение от Аноним (??) on 29-Сен-16, 04:38 
Не, тут без уязвимостей
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Выпуск LibreSSL 2.5.0"  +1 +/
Сообщение от Аноним (??) on 29-Сен-16, 08:38 
Ну да, конечно же.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "Выпуск LibreSSL 2.5.0"  +/
Сообщение от Аноним (??) on 29-Сен-16, 21:40 
> Ну да, конечно же.

Сходите и сравните CVE по обоим продуктам за год сами.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

18. "Выпуск LibreSSL 2.5.0"  +/
Сообщение от xm (ok) on 29-Сен-16, 11:56 
Так у них весь софт так. Возьмите хоть openntpd или opensmtpd. Функционал, мягко говоря, хромает, но, типа, секьюрно.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

20. "Выпуск LibreSSL 2.5.0"  –1 +/
Сообщение от Аноним (??) on 29-Сен-16, 21:41 
> Так у них весь софт так. Возьмите хоть openntpd или opensmtpd. Функционал,
> мягко говоря, хромает, но, типа, секьюрно.

Вы забыли ещё упомянуть, что он работает. Без лишнего геморроя.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

21. "Выпуск LibreSSL 2.5.0"  +/
Сообщение от xm (ok) on 30-Сен-16, 21:56 
Можно ездить на велосипеде, а можно на автомобиле.
Так вот велосипед тоже работает. И геморроя сильно меньше чем с автомобилем.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

14. "Выпуск LibreSSL 2.5.0"  –1 +/
Сообщение от Ilya Indigo (ok) on 28-Сен-16, 20:17 
> Там же rpm. Надо просто правильно приготовить, чтобы пакет с либрой заменил
> openssl, одновременно объявляя о предоставлении его фич.

К сожалению, это не единственная проблема. Нужна явная, документированная поддержка в софте.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

13. "Выпуск LibreSSL 2.5.0"  +1 +/
Сообщение от Ilya Indigo (ok) on 28-Сен-16, 20:15 
И виновато в этом, конечно, именно libreSSL. Исключительная логика!
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Выпуск LibreSSL 2.5.0"  +1 +/
Сообщение от Аноним (??) on 28-Сен-16, 11:14 
когда я ее использовал на OPNSENSE были некоторые странности в работе с сайтами по https. в итоге я даже на бсдшном дистре вернул обратно обыкновенный openssl.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Выпуск LibreSSL 2.5.0"  +2 +/
Сообщение от Аноним (??) on 28-Сен-16, 13:04 
Какие были странности?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Выпуск LibreSSL 2.5.0"  +1 +/
Сообщение от Аноним (??) on 28-Сен-16, 16:24 
> Какие были странности?

Странные

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Выпуск LibreSSL 2.5.0"  +1 +/
Сообщение от xm (ok) on 28-Сен-16, 18:57 
> когда я ее использовал на OPNSENSE были некоторые странности в работе с
> сайтами по https. в итоге я даже на бсдшном дистре вернул
> обратно обыкновенный openssl.

Ну так оно протокол TLS то поддерживает, мягко говоря, не полностью.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

11. "Выпуск LibreSSL 2.5.0"  +/
Сообщение от Аноним (??) on 28-Сен-16, 19:28 
OpenSSL поддерживает все баги для инжекта и удаленного выполнения поверх протокола TLS немного иронии.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру