The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

28.09.2016 09:43  Выпуск LibreSSL 2.5.0

Разработчики проекта OpenBSD представили выпуск переносимой редакции пакета LibreSSL 2.5.0, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Новая ветка ознаменовала начало разработки версии, которая будет развиваться параллельно с OpenBSD 6.1 и войдёт в состав данного релиза. Ветка 2.5.x позиционируется как экспериментальная и дополняет стабильные ветки 2.3.x и 2.4.x, для которых доступны корректирующие обновления - 2.4.3 и 2.3.8. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы.

Особенности LibreSSL 2.5.0:

  • В libtls добавлена поддержка TLS-расширениий SNI (Server Name Indicator) и ALPN (Application-Layer Protocol Negotiation, используется в HTTP/2);
  • В libtls добавлен новый callback-интерфейс для интеграции собственных функций ввода/вывода;
  • Для упрощения выбора надлежащих методов шифрования libtls произведено разбиение наборов шифров на четыре группы:
    • Безопасная "secure" (TLSv1.2+AEAD+PFS)
    • Совместимая "compat" (HIGH:!aNULL)
    • Устаревшая "legacy" (HIGH:MEDIUM:!aNULL)
    • Небезопасная "insecure" (ALL:!aNULL:!eNULL)
  • Библиотека libtls теперь всегда загружает файлы удостоверяющих центров (CA), ключей и сертификатов во время вызова конфигурационной функции;
  • Добавлена поддержка проверки валидности промежуточных сертификатов через OCSP (Online Certificate Status Protocol);
  • Из кодовой базы проекта BoringSSL импортированы функции, необходимые для работы stunnel и exim: X509_check_host, X509_check_email, X509_check_ip и X509_check_ip_asc;
  • Добавлена начальная поддержка платформы iOS;
  • Усилена обработка ошибок в tls_config_set_ciphers();
  • Улучшено поведение функции arc4random на платформе Windows;
  • Обеспечена корректная обработка обнаружения конца файла (EOF) на стадии до завершения согласования TLS-соединения;
  • Поддержка обратно совместимых c SSLv2 методов согласования соединения теперь активируется только при включении TLS 1.0;
  • Прекращена поддержка Cryptographic Message Support (CMS).

Кроме того, в выпусках 2.5.0, 2.4.3 и 2.3.8 устранена уязвимость (CVE-2016-6304), которая может использоваться для инициирования утечки памяти. В LibreSSL проблема проявляется только при разрешении повторного согласования соединения (renegotiation), но на практике может привести лишь к небольшим утечкам памяти, так как для повторных согласований соединения действует ограничение в 3 пересогласования за 300 секунд. Другие недавно выявленные в OpenSSL уязвимости CVE-2016-6305, CVE-2016-6307, CVE-2016-6308 и CVE-2016-6309 не затрагивают LibreSSL, а уязвимость CVE-2016-6306 была устранена ещё два года назад. Из превентивных исправлений в LibreSSL отмечается блокировка отката на недостаточно надёжные методы хэширования для (EC)DH при использовании SNI через libssl.

  1. Главная ссылка к новости (https://marc.info/?l=openbsd-a...)
  2. OpenNews: Критическая уязвимость в OpenSSL 1.1.0a
  3. OpenNews: Обновление OpenSSL с устранением 14 уязвимостей
  4. OpenNews: DragonFly BSD перешел на LibreSSL по умолчанию
  5. OpenNews: Значительный выпуск криптографической библиотеки OpenSSL 1.1.0
  6. OpenNews: Выпуск LibreSSL 2.4.0
Лицензия: CC-BY
Тип: Программы
Ключевые слова: libressl, crypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 11:13, 28/09/2016 [ответить] [смотреть все]
  • –4 +/
    не не, нафиг, в opensuse tumbleweed одно только удаление openssl 1 0 2h просит с... весь текст скрыт [показать]
     
     
  • 2.3, pda, 11:43, 28/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Там же rpm Надо просто правильно приготовить, чтобы пакет с либрой заменил open... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.4, h31, 12:29, 28/09/2016 [^] [ответить] [смотреть все]  
  • +4 +/
    Libressl не сможет заменить openssl 1 0 2 Они несовместимы, что по API, что по ... весь текст скрыт [показать]
     
     
  • 4.6, эцсамое, 14:45, 28/09/2016 [^] [ответить] [смотреть все]  
  • +/
    насколько я знаю, совместимость по API планируется есть ссылки для подтверждени... весь текст скрыт [показать]
     
  • 4.7, Аноним, 15:36, 28/09/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    На ABI нас рать, можно пересобрать софт. С API да, жопка.
     
     
  • 5.9, xm, 18:56, 28/09/2016 [^] [ответить] [смотреть все]  
  • +/
    Да там и с функционалом то же. Вон, только SNI добавили...
     
     
  • 6.12, Аноним, 19:45, 28/09/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Они фичи заново переписывают и кричат, что оно на 95% безопаснее?
     
     
  • 7.15, Аноним, 20:18, 28/09/2016 [^] [ответить] [смотреть все]  
  • +/
    они сперва удаляют старые фичи, потом добавляют свои с уязвимостями.
     
     
  • 8.16, Аноним, 04:38, 29/09/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Не, тут без уязвимостей
     
     
  • 9.17, Аноним, 08:38, 29/09/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Ну да, конечно же.
     
     
  • 10.19, Аноним, 21:40, 29/09/2016 [^] [ответить] [смотреть все]  
  • +/
    > Ну да, конечно же.

    Сходите и сравните CVE по обоим продуктам за год сами.

     
  • 7.18, xm, 11:56, 29/09/2016 [^] [ответить] [смотреть все]  
  • +/
    Так у них весь софт так. Возьмите хоть openntpd или opensmtpd. Функционал, мягко говоря, хромает, но, типа, секьюрно.
     
     
  • 8.20, Аноним, 21:41, 29/09/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Вы забыли ещё упомянуть, что он работает Без лишнего геморроя ... весь текст скрыт [показать]
     
     
  • 9.21, xm, 21:56, 30/09/2016 [^] [ответить] [смотреть все]  
  • +/
    Можно ездить на велосипеде, а можно на автомобиле.
    Так вот велосипед тоже работает. И геморроя сильно меньше чем с автомобилем.
     
  • 3.14, Ilya Indigo, 20:17, 28/09/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    > Там же rpm. Надо просто правильно приготовить, чтобы пакет с либрой заменил
    > openssl, одновременно объявляя о предоставлении его фич.

    К сожалению, это не единственная проблема. Нужна явная, документированная поддержка в софте.

     
  • 2.13, Ilya Indigo, 20:15, 28/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    И виновато в этом, конечно, именно libreSSL. Исключительная логика!
     
  • 1.2, Аноним, 11:14, 28/09/2016 [ответить] [смотреть все]  
  • +1 +/
    когда я ее использовал на OPNSENSE были некоторые странности в работе с сайтами ... весь текст скрыт [показать]
     
     
  • 2.5, Аноним, 13:04, 28/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Какие были странности?
     
     
  • 3.8, Аноним, 16:24, 28/09/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    > Какие были странности?

    Странные

     
  • 2.10, xm, 18:57, 28/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    > когда я ее использовал на OPNSENSE были некоторые странности в работе с
    > сайтами по https. в итоге я даже на бсдшном дистре вернул
    > обратно обыкновенный openssl.

    Ну так оно протокол TLS то поддерживает, мягко говоря, не полностью.

     
     
  • 3.11, Аноним, 19:28, 28/09/2016 [^] [ответить] [смотреть все]  
  • +/
    OpenSSL поддерживает все баги для инжекта и удаленного выполнения поверх протоко... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList