The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

30.04.2018 20:20  Проект HardenedBSD возвращается с LibreSSL на OpenSSL

Проект HardenedBSD, занимающийся улучшением механизмов защиты FreeBSD и выпускающий защищённые сборки FreeBSD, сообщил о возвращении к использованию OpenSSL, спустя более года после миграции на LibreSSL. Как следствие возвращения на OpenSSL, в качестве NTP-сервера по умолчанию будет возвращён ISC NTP вместо OpenNTPd.

В качестве причины называется сложность сопровождения решения на базе LibreSSL и существенные трудозатраты при переходе на новые выпуски LibreSSL. В частности, при обновлении LibreSSL с версии 2.6.4 до 2.7.2 всплыло большое число несовместимостей в портах, которые требуют индивидуальных внесений исправлений в порты. При расширении команды разработчиков HardenedBSD проект намерен вернуться на LibreSSL, но в данный момент продолжение использования LibreSSL невозможно из-за отсутствия необходимых ресурсов для сопровождения.

C 1 июля в ветках HardenedBSD 12-CURRENT и 11-STABLE по умолчанию будет включена сборка с OpenSSL, но поддержка LibreSSL в базовой системе будет сохранена в форме опции (для сборки следует установить переменную MK_LIBRESSL=yes). Копия репозитория пакетов, связанных с LibreSSL, будет доступна до 1 января 2019 года, т.е. пользователям будет предоставлено 8 месяцев на обновление до OpenSSL.

  1. Главная ссылка к новости (http://hardenedbsd.org/article...)
  2. OpenNews: Стабильный выпуск HardenedBSD 10-STABLE и 11-CURRENT v40.1
  3. OpenNews: Сформированы установочные образы HardenedBSD 11-CURRENT
  4. OpenNews: Альфа-выпуск OpenSSL 1.1.1 с поддержкой TLS 1.3
  5. OpenNews: Выпуск LibreSSL 2.7.0
Лицензия: CC-BY
Тип: Программы
Ключевые слова: hardenedbsd, libressl, openssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 20:50, 30/04/2018 [ответить] [показать ветку] [···]    [к модератору]
  • –6 +/
    Тоже мне безопасники. Вернулись на дырявый openssl, потому что не осилили написать патчи для портов.
     
     
  • 2.2, Аноним (-), 20:54, 30/04/2018 [^] [ответить]    [к модератору]
  • +3 +/
    если безопасность не подкреплена математикой - это шутка
     
     
  • 3.43, Аноним (-), 00:13, 02/05/2018 [^] [ответить]    [к модератору]
  • +2 +/
    openssl - это шутка
     
  • 2.16, Аноним (-), 03:05, 01/05/2018 [^] [ответить]     [к модератору]
  • –6 +/
    Ну блин написано - на безопасность нет ресурсов Видимо, корпоративщики как всег... весь текст скрыт [показать]
     
     
  • 3.29, Аноним (-), 15:31, 01/05/2018 [^] [ответить]    [к модератору]  
  • +6 +/
    > Ну блин написано - на безопасность нет ресурсов.

    Харденед разрабы вообще-то всегда больше ограничивались ядром, внося в базу только мнинимальные дополнения. А мейнейнить в два-три рыла еще и не сильно маленькую репу в 30к портов немного перебор.
    Но, конечно же глупо ждать от анонима хоть какого-то знания предмета - ему лишь бы вcпyкнуть при виде знакомых слов )

    > Видимо, корпоративщики как всегда показали фигу и с коммитами/рабочей силой и с деньгами. Лицензия позволяет, ниипер.

    А не хочет ли дорогой наш эксперт всего и вся поведать нам, какая лицензия заставляет спонсировать деньгами или рабочей силой любой форк какого-то проекта? И что там со спонсированием майками QoS, например, репы арчика?
    И самое главное: какие именно проприетарщики показали фигу дебиану с коммитами/рабочей силой и с деньгами, так что там даже не пытались перейти на либру?

     
     
  • 4.32, Аноним (-), 16:55, 01/05/2018 [^] [ответить]     [к модератору]  
  • –5 +/
    В отличие от этой поделки дебианом пользуется сильно больше людей, а ломать все ... весь текст скрыт [показать]
     
     
  • 5.33, Аноним (-), 17:17, 01/05/2018 [^] [ответить]     [к модератору]  
  • +5 +/
    Получается, дебиану можно использовать дырявый openssl , потому что им пользуют... весь текст скрыт [показать]
     
     
  • 6.35, Аноним (-), 17:29, 01/05/2018 [^] [ответить]     [к модератору]  
  • –3 +/
    Думаю ребятам из дебиана виднее, и риски они оценивают правильно, имено потому и... весь текст скрыт [показать]
     
  • 1.3, 33333333 (?), 21:17, 30/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    еще один повод для меня пересобрать libressl с git pull после обновления 16.04.4 ЛТС до 18.04 :)
     
     
  • 2.4, A.Stahl (ok), 22:09, 30/04/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    Ещё раз собери. И ещё раз. На всякий случай.
     
  • 2.20, Какаянахренразница (ok), 05:48, 01/05/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > после обновления 16.04.4 ЛТС до 18.04

    А ты уже обновился? Не страшно?

     
     
  • 3.45, 1244444566 (?), 05:15, 02/05/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    нет...не страшно ;) а че боятся то? вся обнова прошла как по маслу.
     
  • 1.5, Аноним (-), 22:23, 30/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    выкидывание кода усложняет систему, ай да выкидыватели
     
     
  • 2.6, колобок (?), 22:51, 30/04/2018 [^] [ответить]    [к модератору]  
  • +/
    Не смогли в миграцию, и только.
     
  • 1.7, Ivan_83 (ok), 22:59, 30/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Поторопился.
    Во фре тоже перешли на эту версию, щас порты допилят за неделю/месяц.

    А ISC NTP просто какое то днище.
    Мне вот не нужно предоставлять сервис времени другим, поэтому я нашёл в хз какой документации параметры и сделал чтобы он биндился только на lo.
    Проверил, работает.
    Прошло немного времени и после апдейта ОС вместе с этим демоном работа сломалась.
    Притом сломалась настолько, что ntpd должен обязательно слушать и обязательно обрабатывать пакеты на том интерфейсе на котором он общается с апстримами.
    Те смотреть голой жопой в инет обязательно. Про фаер я слышал, но это костыльное решение ля купирования проблемы, а на рабочих станциях я фаер не держу.

    Поставил OpenNTPd.
    Конфиг простейший и понятный.
    Не хочешь предоставлять точно время другим - не биндишься к интерфейсам и оно спокойно себе работает.

    Ещё раз убедился что в ISC сплошные плохие кодеры, всегда обходил ихний дхцп и днс (бинд) стороной, знал бы про ntp - избежал бы траты кучи времени.

     
     
  • 2.9, Michael Shigorin (ok), 23:05, 30/04/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    Просто к сведению на линуксе isc-шный умеет пользоваться подкруткой времени в... весь текст скрыт [показать]
     
     
  • 3.11, Ivan_83 (ok), 23:25, 30/04/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Я в курсе, но мне оно не критично.
    Монотонность обеспечивается в таймерах, там аптайм считается.
     
  • 3.13, PereresusNeVlezaetBuggy (ok), 23:59, 30/04/2018 [^] [ответить]     [к модератору]  
  • +5 +/
    Откуда дровишки Плавная подстройка при поддержке ядра в OpenNTPd есть давно, ... весь текст скрыт [показать]
     
  • 3.15, Аноним (-), 03:02, 01/05/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Зато весь ISCшный софт являет собой пример монструозного энтерпрайзного оверинжи... весь текст скрыт [показать]
     
     
  • 4.22, Аноним (-), 09:37, 01/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Вот еще прекрасная NTP-реализация DragonFly has its own from-scratch time daemo... весь текст скрыт [показать]
     
     
  • 5.46, Аноним (-), 10:15, 02/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Она работает в Linux И описание - довольно странное, чтоли Какие-то 5 minutes... весь текст скрыт [показать]
     
  • 3.31, Аноним (-), 16:32, 01/05/2018 [^] [ответить]    [к модератору]  
  • +/
    а когда isc-шный научится НЕ переводить время в давнее прошлое (делая невалидные взломанные сертификаты снова валидными)?

    это ведь простейшее действие -- спросить у гугл-сервера текущее время

     
     
  • 4.41, YetAnotherOnanym (ok), 19:50, 01/05/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    В наших краях время положено спрашивать у серверов ВНИИФТРИ.
     
     
  • 5.47, Аноним (-), 10:19, 02/05/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > В наших краях время положено спрашивать у серверов ВНИИФТРИ.

    Да что уж там, у ВНИИ Химических Удобрений и Ядохимикатов.

     
  • 5.49, Аноним (-), 23:11, 02/05/2018 [^] [ответить]    [к модератору]  
  • +/
    > В наших краях время положено спрашивать у серверов ВНИИФТРИ.

    Кем положено?

     
  • 2.10, xm (ok), 23:22, 30/04/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Короче, ещё один не осилил конфиг NTP и понаписал кучу ерунды, которую даже разбирать желания нет.
     
     
  • 3.12, Ivan_83 (ok), 23:30, 30/04/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Осилил и пользовался много лет Но встал вопрос что на рабочих станциях я не жел... весь текст скрыт [показать]
     
     
  • 4.14, angra (ok), 02:33, 01/05/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Ты так хорошо его осилил, что даже не заметил в документации раздел ACL и пошел сразу рубить бинды?
     
     
  • 5.18, Аноним (-), 05:10, 01/05/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    За ACL в приложениях нужно сажать
     
  • 5.19, Ivan_83 (ok), 05:27, 01/05/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Если ставить игнорировать запросы - синхронизация тоже отваливается.
    ACL подразумевает обработку запросов, это как возможность для DoS так и потенциальная дырка, если там в очередной раз уязвимость найдут.

    Уязвимости в ntpd за последние 10 лет находили более 10 раз, притом там часто за раз была не одна узявимость а несколько.
    Это одна из лидирующих по дыркам служб во фре.

     
  • 4.28, xm (ok), 15:03, 01/05/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Десятки инсталляций годами работают с NTP и без файерволов для чего надо было всего лишь поправить ntp.conf в разделе security. А последние несколько лет так и вообще его трогать нет необходимости. По-крайней мере во FreeBSD.
     
     
  • 5.40, Ivan_83 (ok), 19:22, 01/05/2018 [^] [ответить]    [к модератору]  
  • +/
    Миллионы мух не могут ошибатся ага.
    Нету никакого секурити в софте от ISC, все эти надписи имеют много меньше ценности чем любая надпись на заборе.

    https://www.freebsd.org/security/advisories.html
    Я вот смотрю сюда и просто выкидываю всё что часто встречается: openssl, ntpd.

     
     
  • 6.42, xm (ok), 20:43, 01/05/2018 [^] [ответить]    [к модератору]  
  • +/
    Обновляться своевременно не пробовали?
    Софт ISC 25 лет поддерживает инфраструктуру сети, в том числе и ключевую, как бы кто к нему не относился. Количество дыр соразмерно истории и наследию.
     
     
  • 7.44, Ivan_83 (ok), 01:50, 02/05/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    На стабле сижу.
    А если ставить свежее с портов то я вот альтернативу и выбрал.

    Ничего он уже давно не поддерживает, так, всякие маргиналы ещё юзают бинд, дхцп и апач в придачу (знаю что не их), потому что с молодости привыкли и всё никак не переучатся.

    По пачке дыр каждый год последние 10 лет в простом демоне синхронизации времени это как то чересчур.

     
  • 7.48, Аноним (-), 10:26, 02/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Количество дыр соразмеримо блоатварности и оверинжинирингу их софта, внезапно П... весь текст скрыт [показать]
     
  • 2.26, artemrts (ok), 13:07, 01/05/2018 [^] [ответить]    [к модератору]  
  • +/
    О, а подскажи замену isc dhcpd, а то как то сам задумался свалить с него.
     
     
  • 3.38, Ivan_83 (ok), 19:05, 01/05/2018 [^] [ответить]    [к модератору]  
  • +/
    dnsmasq или мой скрипт на перле: http://netlab.dhis.org/wiki/ru:software:perl:dhcp_server
     
  • 2.27, Fyjybv755 (?), 13:34, 01/05/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    > Не хочешь предоставлять точно время другим - не биндишься к интерфейсам и оно спокойно себе работает.

    Не хочу вас огорчать, но NTP - это UDP, а там нельзя отправлять пакеты, не забиндив сокет (ну, если не говорить про AF_RAW, которые тут явно не используются).
    Так что биндится он как миленький.

     
     
  • 3.39, Ivan_83 (ok), 19:08, 01/05/2018 [^] [ответить]    [к модератору]  
  • +/
    А ещё на UDP сокете можно вызвать connect() и тогда он будет принимать пакеты только от одного ip:port.
    Даже без этого фильтрация на одном сокете левых пакетов заметно проще.
    ISC я не доверяю принципиально, они писать программы не умеют.
     
  • 3.50, PereresusNeVlezaetBuggy (ok), 15:32, 03/05/2018 [^] [ответить]    [к модератору]  
  • +/
    >> Не хочешь предоставлять точно время другим - не биндишься к интерфейсам и оно спокойно себе работает.
    > Не хочу вас огорчать, но NTP - это UDP, а там нельзя
    > отправлять пакеты, не забиндив сокет (ну, если не говорить про AF_RAW,
    > которые тут явно не используются).
    > Так что биндится он как миленький.

    Отправлять можно. Вот с получением будут проблемы.

     
  • 1.8, Michael Shigorin (ok), 23:04, 30/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > Как следствие возвращения на OpenSSL, в качестве
    > NTP-сервера по умолчанию будет возвращён ISC NTP
    > вместо OpenNTPd.

    Гм, а в чём связь?  В альте, скажем, сейчас штатно поставляются именно openssl и openntpd (но есть и LibreSSL, и ntp).

     
  • 1.21, Бывалый (?), 09:32, 01/05/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –3 +/
    В этом вся суть модно-молодёжных форков, спонсируемых корпорастами для атаки на ... весь текст скрыт [показать]
     
  • 1.23, ыы (?), 10:19, 01/05/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    (1) >спустя более года после миграции на LibreSSL

    (2)> при обновлении LibreSSL с версии 2.6.4 до 2.7.2

    Раз в год обновляют?

     
     
  • 2.25, Andrey Mitrofanov (?), 12:02, 01/05/2018 [^] [ответить]    [к модератору]  
  • +/
    > (1) >спустя более года после миграции на LibreSSL
    > (2)> при обновлении LibreSSL с версии 2.6.4 до 2.7.2
    > Раз в год обновляют?

    Написано же 12-CURRENT втащили.  ??

     
  • 2.30, Аноним (-), 15:42, 01/05/2018 [^] [ответить]     [к модератору]  
  • +/
    CODE usr src git log crypto libressl Date Sun Dec 31 16 41 10 2017 01... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor