The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

06.11.2017 18:30  Выпуск LibreSSL 2.6.3

Разработчики проекта OpenBSD представили выпуск переносимой редакции пакета LibreSSL 2.6.3, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. LibreSSL 2.6.3 объявлен первым стабильным выпуском серии 2.6.x. Поддержка прошлой стабильной ветки LibreSSL 2.4.x прекращена.

Основные изменения в LibreSSL 2.6:

  • Добавлена поддержка загрузки в libtls списков отозванных сертификатов (CRL). Как только CRL будет предоставлен в libtls через вызов функций tls_config_set_crl_file или tls_config_set_crl_mem включается проверка полной цепочки доверия для сертификатов;
  • Код проверки имени TLS-сертификата переработан в направлении более жесткого следования RFC 6125;
  • Почищен и упрощён код для обработки обращений к серверам обмена ключами на основе эллиптических кривых (EC, Elliptic Curve), а также код для обработки конфигурации ключей EC и параметров кривых;
  • Из функций BIO_get_accept_socket(), simplified BIO_get_host_ip() и BIO_accept() удалена неполноценная обработка IPv6;
  • Проверка SNI упрощена для обеспечения соединения к TLS-серверу на базе libtls клиентов, не соответствующих RFC и использующих внутренние IP-адреса;
  • В libtls добавлена функция tls_peer_cert_chain_pem, которую можно использовать в callback-вызовах для приватной проверки сертификатов, как это делается, например, в relayd;
  • Добавлены функции SSL{,_CTX}_set_{min,max}_proto_version();
  • Из BoringSSL перенесена реализация HKDF (HMAC Key Derivation Function);
  • Добавлена функция tls_unload_file для очистки памяти, возвращённой при вызове tls_load_file(), для того чтобы удостовериться, что осевшее в памяти содержимое недоступно после его обработки;
  • Для libtls tls_config реализован подсчёт ссылок, позволяющий вызвать tls_config_free как можно быстрее после финального вызова tls_configure();
  • Заполнение полей со временем при генерации сертификата через команду "openssl ca" приведено в соответствие с требованиями RFC 5280;
  • Прекращена поддержка наборов шифров, использующих аутентификацию на базе DSS (Digital Signature Standard);
  • В libssl прекращена поддержка DSS и DSA;
  • Добавлена возможность использования трёх идентификаторов OID в сертификатах с расширенной проверкой EV (Extended Validation);
  • Обеспечено разделение статусов самоподписанных сертификатов (self-signed) и самостоятельно выписанных сертификатов (self-issued);
  • Добавлен новый фреймворк для управления расширениями TLS, созданный по аналогии с подобным фреймворком из BoringSSL. Все TLS-расширения перенесены под управление нового фреймворка и добавлен новый тестовый набор для проверки расширений;
  • В libtls добавлена функция tls_config_set_ecdhecurves(), которая позволяет задавать имена эллиптических кривых для использования при обмене ключами клиентом или сервером;
  • Очередная порция кода переведена на использование подсистем CBB/CBS;
  • Удалена поддержка потерявшего актуальность TLS-расширения NPN, развившегося в паре с SPDY, на смену которому вместе с HTTP/2 пришло TLS-расширение ALPN;
  • Удален код SSL_OP_CRYPTOPRO_TLSEXT_BUG, использовавшийся для обхода проблем в старых клиентах CryptoPro;
  • Удалена поддержка TLS-расширения с методом добавочного заполнения, применявшимся для обхода ошибки в продуктах F5;
  • Удалена старая реализация набора шифров chacha20-poly1305 (на смену пришла стандартизированная реализация IETF); Добавлен код для обхода ошибки в обработчике завершения TLS-соединения, проявляющейся в продуктах F5;
  • Шифр ECDHE-RSA-DES-CBC3-SHA переведён из категории HIGH в MEDIUM; Добавлены новые man-руководства и расширены существующие.
  • При вызове функции tls_config_parse_protocols() с указателем NULL теперь возвращается набор протоколов по умолчанию.


  1. Главная ссылка к новости (https://www.mail-archive.com/a...)
  2. OpenNews: Выпуск LibreSSL 2.6.1
  3. OpenNews: Выпуск LibreSSL 2.6.0
  4. OpenNews: Выпуск LibreSSL 2.5.4 с устранением уязвимости
  5. OpenNews: Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-сертификатов в nginx
  6. OpenNews: Выпуск LibreSSL 2.5.2
Лицензия: CC-BY
Тип: Программы
Ключевые слова: libressl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 22:31, 06/11/2017 [ответить] [смотреть все]
  • +/
    Неплохо.
     
     
  • 2.2, Аноним, 23:12, 06/11/2017 [^] [ответить] [смотреть все]
  • +1 +/
    Что конкретно порадовало вас больше всего?
     
     
  • 3.3, Аноним, 23:25, 06/11/2017 [^] [ответить] [смотреть все]
  • +1 +/
    Не знаю, огорчаться или радоваться, не увидел ни одной закрытой уязвимости ... весь текст скрыт [показать]
     
     
  • 4.4, Аноним, 23:37, 06/11/2017 [^] [ответить] [смотреть все]  
  • +5 +/
    Неплохо
     
  • 4.8, Аноним, 10:07, 07/11/2017 [^] [ответить] [смотреть все]  
  • +/
    Да они даже уязвимости в своём коде найти не могут Вообще ничего в нём не поним... весь текст скрыт [показать]
     
     
  • 5.10, Аноним, 17:52, 07/11/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    а это и не их код И да, все существенные уязвимости в openssl найдены не ими ... весь текст скрыт [показать]
     
     
  • 6.11, ssh, 19:51, 07/11/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Хм, раз они сделали форк, то и код теперь их.
     
  • 3.15, Michael Shigorin, 14:39, 08/11/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    > Что конкретно порадовало вас больше всего?

    Возможно, то, что новость была отправлена с того же IP-адреса...

     
     
  • 4.16, alex118, 15:07, 14/11/2017 [^] [ответить] [смотреть все]  
  • +/
    nat же...
     
  • 1.5, Аноним, 00:56, 07/11/2017 [ответить] [смотреть все]  
  • +/
    Viva OpenBSD team!
     
  • 1.7, Аноним, 09:55, 07/11/2017 [ответить] [смотреть все]  
  • –2 +/
    >Почищен и упрощён код

    доиграются они.

     
     
  • 2.9, бедный буратино, 16:58, 07/11/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    надо надо умываться
    по утрам и вечерам
    а нечистым трубочистам стыд и срам

    даздраствуетмылодушистое
    изубнойпорошок
    игустойгребешок

    давайте же мыться плескаться
    купаться нырять кувыркаться
    и не забывать упрощать код

     
  • 2.12, ssh, 19:52, 07/11/2017 [^] [ответить] [смотреть все]  
  • +/
    > доиграются они.

    Будь круче, закончи мысль!


     
     
  • 3.14, freehck, 12:22, 08/11/2017 [^] [ответить] [смотреть все]  
  • +/
    https://cs8.pikabu.ru/post_img/2016/09/14/9/1473863411143474837.jpg
     
  • 1.17, Аноним, 19:41, 14/11/2017 [ответить] [смотреть все]     [к модератору]  
  • +/
    Это не LibreSSL Вот это - настоящий LibreSSL ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor