Разработчики проекта OpenBSD представили выпуски переносимой редакции пакета LibreSSL 2.3.2, 2.2.6 и 2.1.10, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы.
Из изменений в LibreSSL 2.3.2 можно отметить:
- Добавлена поддержка появившегося в Solaris 11.3 системного вызова getentropy(2);
- Добавлена поддержка применяемой в NetBSD 7.0 реализации arc4random(3);
- Добавлена функция EVP_aead_chacha20_poly1305_ietf() отличающаяся от похожей TLS-функции EVP_aead_chacha20_poly1305() задействованем дополнительных конструкций AEAD, определённых в RFC 7539;
- Исключено проявление поведения, не определённого в стандартах C99+, из-за применения в AES_decrypt операции сдвига с переполнением;
- Man-страницы переведены из pod в формат mdoc;
- В cert.pem добавлены корневые сертификаты удостоверяющих центров COMODO RSA Certification Authority и QuoVadis. Удалён устаревший сертификат VeriSign;
- Добавлена поддержка сборки утилиты nc в Solaris;
- Устранены проблемы с препроцессором GCC 5.x+;
- Улучшена работа команды openssl в консоли Windows;
- Формат LIBRESSL_VERSION_NUMBER приведён в соответствие с переменной OPENSSL_VERSION_NUMBER в OpenSSL;
- Прекращена поддержка опции SSL_OP_SINGLE_DH_USE (см. ниже).
В версиях LibreSSL 2.2.6 и 2.1.10 добавлено только одно изменение, связанное с прекращением поддержки опции SSL_OP_SINGLE_DH_USE, которая отныне будет включена в любой ситуации. Отключение данной опции, приводило к повторному использованию параметров для алгоритма Диффи—Хеллмана (Diffie-Hellman). В LibreSSL опция SSL_OP_SINGLE_DH_USE была включена по умолчанию, а в OpenSSL отключена, что способствовало проявлению в OpenSSL уязвимости CVE-2016-0701.
|