The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Релиз библиотеки OpenSSL 1.0.0 и обновление 0.9.8n с устранением уязвимости

29.03.2010 17:38

Вышел релиз библиотеки с реализацией протоколов SSL/TLS - OpenSSL 1.0.0, В новой версии представлено более 100 улучшений, особенно много изменений связано с попытками увеличения надежности, безопасности и стабильности.

Основные новшества:

  • Добавлена поддержка российских криптографических алгоритмов, реализованных благодаря компании Криптоком. Например, поддерживаются стандарты: ГОСТ Р 34.10-2001 (электронная подпись ); VKO 34.10-2001 (распределение ключей ); ГОСТ Р 34.11-94 (хэширование); ГОСТ 28147-89 (симметричное шифрование);
  • Упрощение указания типов хешей и шифров при работе в командной строке, отныне можно указывать как "openssl dgst -sha256 foo", так и в сокращенном виде "openssl sha256 foo".
  • Для записи приватных ключей по умолчанию используется формат PKCS#8, независимый от MD5 хешей;
  • При участии Google реализована поддержка: Delta CRL (Certificate Revocation Lists) списков аннулированных сертификатов, определяющих только сертификаты, статус которых был изменен относительно базового CRL; "partitioned" CRL, списков разбитых на разделы в зависимости от кода причины аннулирования сертификата; начальная поддержка "indirect CRL"; плюс еще около 5 улучшений в поддержке CRL;
  • Новые расширения: "policy mappings extension", "freshest CRL extension", "Opaque PRF Input TLS extension";
  • Начальная поддержка CMS (Cryptographic Message Syntax), определенного в RFC3850, RFC3851 и RFC3852. Управление производится через утилиту cms;
  • В ядро библиотеки интегрирован код для увеличения безопасности, через жесткую проверку типов. Для оптимизации потребления памяти добавлен режим SSL_MODE_RELEASE_BUFFERS, при котором производится освобождение неиспользуемых буферов. Изменен подход при обработке строковых данных в коде SSL/TLS;
  • Добавлен оптимизирующий код на ассемблере для архитектур s390x и ARMv4;
  • Добавлена поддержка RFC4507 для более безопасной организации клиентских сессий, а также RFC 4279 для подключения комплектов pre-shared PSK TLS шифров. Добавлена совместимость с RFC 3161, RFC 3280;
  • Добавлена поддержка сборки в gcc 4.2;
  • Добавлена поддержка dsa-with-SHA224 и dsa-with-SHA256, а также поддержка типов сигнатур ecdsa-with-SHA224/256/384/512;

Дополнительно можно отметить выход корректирующего релиза OpenSSL 0.9.8n в котором исправлено несколько серьезных ошибок и устранена опасная уязвимость. Исправленная уязвимость позволяла удаленному злоумышленнику вызвать крах клиента или сервера, использующих функцию ssl3_get_record(), отправив в рамках TLS-соединения запрос с некорректно оформленным заголовком.

  1. Главная ссылка к новости (http://openssl.org/news/...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/25999-openssl
Ключевые слова: openssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (22) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 17:44, 29/03/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Это действительно случилось?! Я не сплю? :) Я думал этого никогда не произойдет. :)
     
  • 1.2, Аноним (-), 17:50, 29/03/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –9 +/
    Сколько еще критических дырок найдут в новой версии? И ведь это библиотека, на базе которой должна строиться безопасность других систем!!!
     
     
  • 2.4, Zenitur (?), 18:24, 29/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Сколько еще критических дырок найдут в новой версии?

    Уверен, что не найдут, или будут находить очень мало... Вспомни, сколько времени он создавался.
    > И ведь это - библиотека, на базе которой создана основа безопасности всех свободных систем!

    И ведь это утверждение основано на основе сиюминутного предположения, которое вовсе не должно оказаться правдивым!

     
     
  • 3.6, PereresusNeVlezaetBuggy (ok), 19:43, 29/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >> Сколько еще критических дырок найдут в новой версии?
    >
    >Уверен, что не найдут, или будут находить очень мало... Вспомни, сколько времени
    >он создавался.

    Ну как сказать… http://www.peereboom.us/assl/html/openssl.html

    Я вовсе не хочу сказать, что все авторы OpenSSL — идиоты. Но местами результат действительно, мягко говоря запутывает. А где путаница — там и ошибки. А где ошибки — там и проблемы с надёжностью, в том числе с безопасностью.

     
  • 3.7, аноним (?), 20:06, 29/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Уверен, что не найдут

    Грошь цена твоей уверенности, учитывая как ты "шаришь" в предмете

     
     
  • 4.17, Zenitur (?), 02:37, 30/03/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вам известно, как я разбираюсь в предмете? Информатики :-)?
     
     
  • 5.23, аноним (?), 20:25, 30/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Да. И всем известно. Ваши сообщения варьируются от наивности до бредовости, и за рамки этого диапазона, к сожалению, не выходят.
     
     
  • 6.26, Zenitur (?), 23:53, 30/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и?
     
  • 2.25, User294 (ok), 22:23, 30/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Сколько еще критических дырок найдут в новой версии? И ведь это библиотека,
    >на базе которой должна строиться безопасность других систем!!!

    Сделайте лучше, с шахматами и поэтессами. Честное слово, мы скажем спасибо, если там будет меньше дыр при том же количестве фич. И даже будем пользоваться этой либой, если, конечно, она будет под достаточно либеральной лицензией.

     

  • 1.3, Zenitur (?), 18:19, 29/03/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Уже обновился! Люди, никто не знает, а почему в src.rpm от последнего openSuSE на исходник от 0.9.8буква накладывается 8 патчей каких-то?..
    Подумать только... У openSSL 1-я версия... Это событие!
     
     
  • 2.11, pavlinux (ok), 20:48, 29/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Эти, думаю, понятно для чего.
    > openssl-0.9.6g-alpha.diff
    > openssl-0.9.7f-ppc64.diff
    > openssl-hppa-config.diff
    > openssl-0.9.8-sparc.dif

    CVE - это дыры:
    http://secunia.com/advisories/cve_reference/CVE-2009-3555/
    http://secunia.com/advisories/cve_reference/CVE-2009-4355/
    > openssl-CVE-2009-3555.patch
    > openssl-CVE-2009-4355.patch

    Это вообще не ясно, видимо не для Линух Осей
    > openssl-0.9.8a.ca-app-segfault.bug128655.dif

    так как free() на нулевом указателе, возвращает нулевой размер. (должен ;)



    ANSI-C Standard:

    The ANSI standard ANSI X3.159-1989 "Programming Language C."
    specifies that free(NULL) is a no op.

    "free deallocates the space pointed to by p: it does nothing if p is NULL."

    Quoted from "The C Programming Language"
    second edition by Kernighan and Ritchie with the subtitle "ANSI C".

       1. Kernighan and D. Ritchie, "Programming Language C",

    Second edition. ISBN 5-8459-0891-4
    Chapter 8.7 "Example - Memory Allocator", page 197, 2 line from the bottom :)

        "... if the pointer is NULL, creates releases list of free blocks.
        It contains one block of size zero, and points back to itself "


    у них тут SIGFALT ...
    -       free_index(db);
    +       if (db)
    +               free_index(db);

    тут пробел забыли
    >openssl-0.9.8-flags-priority.dif

     
     
  • 3.14, pavlinux (ok), 23:29, 29/03/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >у них тут SIGFALT ...
    >-       free_index(db);
    >+       if (db)
    >+               free_index(db);

    Лошара я последний... free_index() с free() перепутал... Упс. :)

     

  • 1.8, pavlinux (ok), 20:21, 29/03/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > ГОСТ Р 34.10-2001 (электронная подпись );
    > VKO 34.10-2001 (распределение ключей );
    > ГОСТ Р 34.11-94 (хэширование);
    > ГОСТ 28147-89 (симметричное шифрование);

    А где 2004 ГОСТ ????  Зачем нам эти дырявые ...

     
     
  • 2.9, PereresusNeVlezaetBuggy (ok), 20:25, 29/03/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> ГОСТ Р 34.10-2001 (электронная подпись );
    >> VKO 34.10-2001 (распределение ключей );
    >> ГОСТ Р 34.11-94 (хэширование);
    >> ГОСТ 28147-89 (симметричное шифрование);
    >
    >А где 2004 ГОСТ ????  Нах... нам эти дырявые ...

    А где ваш патч? Только не говорите, что релиз вышел слишком быстро и вы не успели… ;)

     
     
  • 3.10, pavlinux (ok), 20:26, 29/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >>А где 2004 ГОСТ ????  Нах... нам эти дырявые ...
    >
    >А где ваш патч? Только не говорите, что релиз вышел слишком быстро
    >и вы не успели… ;)

    Вы знали, вы знали

     
  • 2.15, homyur (?), 00:56, 30/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Я, конечно, могу ошибаться, но ГОСТ 34.310-2004 и ГОСТ Р 34.10-2001 отличаются только названиями. Первый является ГОСТом стран СНГ, а второй - Российской Федерации. Больше отличий быть не должно.
     
     
  • 3.16, pavlinux (ok), 01:25, 30/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Я, конечно, могу ошибаться, но ГОСТ 34.310-2004 и ГОСТ Р 34.10-2001 отличаются
    >только названиями. Первый является ГОСТом стран СНГ, а второй - Российской
    >Федерации. Больше отличий быть не должно.

    Может быть, не вникал, у нас везде как 2004 проходит.

     
  • 2.18, Andrey Mitrofanov (?), 09:53, 30/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >А где 2004 ГОСТ ????  Зачем нам эти дырявые ...

    А зачем нам эти несертифицированыые ГОСТ-ы?...

     
     
  • 3.19, pavlinux (ok), 12:25, 30/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >>А где 2004 ГОСТ ????  Зачем нам эти дырявые
    >А зачем нам эти не сертифицированные ГОСТ-ы?

    Гы... Стандарт не может иметь сертификата.
    Сертификат дают на софт и железо их использующий ...

     
  • 3.20, koblin (ok), 12:30, 30/03/2010 [^] [^^] [^^^] [ответить]  
  • +/
    наверное можно (теоретически) сертифицировать какую-то версию openssl в составе вашего СКЗИ
     

  • 1.27, Антон (??), 10:54, 01/04/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Добавлена поддержка российских криптографических алгоритмов

    Объясните пжлуста дураку, это значит что я теперь смогу придти в ГОС контору
    и сказать "парни , я могу вам все шифровать и все по ГОСТу"? Далее поставить nix систему с OpenSSL 1.x и не париться ?

     
     
  • 2.28, Andrey Mitrofanov (?), 11:11, 01/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >>Добавлена поддержка российских криптографических алгоритмов
    >
    >Объясните пжлуста дураку, это значит что я теперь смогу придти в ГОС
    >контору

    Нет, это означает, что ты сможешь из этой конторы пойти, куда скажут, -- по-прежнему в полном соответствии с ...О мерах по соблюдению законности в области... и ...о лицензировании отдельных видов деятельности... и прочими декретами Власти.

    ---Президент Путин, конечно, обещал автограф поставить на ReleaseNote-сах v1.0.0... но, похоже, обманул.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Ideco
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру