The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск LibreSSL 2.6.1

07.09.2017 09:04

Разработчики проекта OpenBSD представили выпуск переносимой редакции пакета LibreSSL 2.6.1, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Выпуск LibreSSL 2.6.1 продолжает развитие экспериментальной ветки, в которой наращиваются возможности для включения в состав OpenBSD 6.2.

Основные изменения в LibreSSL 2.6.1:

  • В утилиту nc добавлен флаг "-T tlscompat", который включает все расширения протокола TLS и наборы шифров категории "compat", что позволяет подсоединиться к TLS-серверам с недостаточно качественным набором шифров без необходимости включения всех имеющихся шифров опцией "-T tlsall";
  • Добавлен новый фреймворк для управления расширениями TLS, созданный по аналогии с подобным фреймворком из BoringSSL. Все TLS-расширения перенесены под управление нового фреймворка и добавлен новый тестовый набор для проверки расширений;
  • Проведена чистка кода обработки конфигурации ключей и параметров эллиптических кривых;
  • В libtls добавлена функция tls_config_set_ecdhecurves(), позволяющая выбрать имена эллиптических кривых, которые можно использовать для обмена ключами между клиентом и сервером;
  • Очередная порция кода переведена на использование подсистем CBB/CBS;
  • Удалена поддержка DSS/DSA;
  • Удалена поддержка потерявшего актуальность TLS-расширения NPN, развившегося в паре с SPDY, на смену которому вместе с HTTP/2 пришло TLS-расширение ALPN;
  • Удален код SSL_OP_CRYPTOPRO_TLSEXT_BUG, использовавшийся для обхода проблем в старых клиентах CryptoPro;
  • Удалена поддержка TLS-расширения с методом добавочного заполнения, применявшимся для обхода ошибки в продуктах F5;
  • Удалена старая реализация набора шифров chacha20-poly1305 (на смену пришла стандартизированная реализация IETF);
  • Добавлен код для обхода ошибки в обработчике завершения TLS-соединения, проявляющейся в продуктах F5;
  • Добавлен API SSL_CTX_set_min_proto_version();
  • Шифр ECDHE-RSA-DES-CBC3-SHA переведён из категории HIGH в MEDIUM;
  • Добавлены новые man-руководства и расширены существующие.


  1. Главная ссылка к новости (https://www.mail-archive.com/a...)
  2. OpenNews: Выпуск LibreSSL 2.6.0
  3. OpenNews: Выпуск LibreSSL 2.5.4 с устранением уязвимости
  4. OpenNews: Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-сертификатов в nginx
  5. OpenNews: Выпуск LibreSSL 2.5.2
  6. OpenNews: Новые выпуски LibreSSL 2.5.1, 2.4.5 и 2.3.10
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/47147-libressl
Ключевые слова: libressl
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (5) RSS
  • 1.1, Аноним (-), 09:50, 07/09/2017 [ответить]  
  • +/
    "удале*" 6 раз. "добавле*" 8 раз. Хм, у них обычно наоборот. Пора кричать o bloatware?
     
  • 1.2, Аноним (-), 10:17, 07/09/2017 [ответить]  
  • –1 +/
    Когда там в него TLSv1.3 завезут?
     
     
  • 2.3, Аноним (-), 15:11, 07/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А что, стандарт уже утвердили?
     
  • 2.5, Аноним (-), 18:38, 07/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В BoringSSl уже завезен.
     

  • 1.4, J.L. (?), 16:15, 07/09/2017 [ответить]  
  • –1 +/
    > Удалена поддержка обхода ошибки
    > Добавлен код для обхода ошибки

    занятно, это для того чтоб блотварные проприетарные либы могли подключаться не только к блотварным проприетарным серверам но и к LibreSSL (и наоборот) ?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру