Выпуск LibreSSL 2.1.4 - форка OpenSSL от проекта OpenBSD

06.03.2015 10:44

Разработчики проекта OpenBSD представили новый значительный выпуск переносимой редакции пакета LibreSSL 2.1.4, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Из особенностей LibreSSL можно отметить ориентацию на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы.

Среди новшеств, представленных в выпуске LibreSSL 2.1.4:

Расширены возможности библиотеки libtls с реализацией развиваемого проектом LibreSSL нового упрощённого программного интерфейса для обеспечения шифрованного канала связи между клиентом и сервером. Добавлен новый API для загрузки цепочек сертификатов удостоверяющих центров (CA) непосредственно из памяти, а не из файла, что позволяет обеспечить выполнение верификации в системах с разделением привилегий и в изолированных chroot-окружениях без прямого доступа к файлам с сертификатами CA. По умолчанию задействованы шифры TLSv1.2 с блочным шифрами AEAD и механизмом согласования ключей PFS. Улучшен код обработки ошибок и генерации сообщений;
Добавлен API X509_STORE_load_mem для загрузки сертификатов из памяти. API позволяет организовать работу с сертификатами из chroot-окружений;
Добавлен новый псевдоним AEAD ("MAC alias"), позволяющий настраивать TLSv1.2 шифры AEAD указывая 'TLSv1.2+AEAD' в качестве строки выбора шифра;
В утилиту openssl добавлена новая команда "certhash", которая заменила собой скрипт "c_rehash";
Для обеспечения совместимости с различными системами аудита и сканерами безопасности реализована поддержка TLS_FALLBACK_SCSV на стороне сервера;
Продолжена чистка неактуального и неиспользуемого кода, в том числе удалён код MD5, SCTP, RFC 3779, обходные механизмы поддержки Netscape, не связанные с POSIX методы ввода/выводы, секции "#if 0";
Для улучшения читаемости и упрощения сопровождения доработан макрос ASN1;
Удалены различные исключения, связанные с проверкой указателей NULL. Вместо них для отлова обращения к NULL-указателям используются средства ОС и обработчики сигналов;
Переработан код обработки аргументов в утилите openssl;
Добавлена поддержка сборки с опцией OPENSSL_NO_DEPRECATED;
Устранена порция проблем, выявленных в процессе автоматизированной проверки в системе Coverity;
Устранена серия проблем с безопасностью. Исправлена незначительная утечка информации по сети из-за передачи дополнительных 28 байт из блока .rodata или .data. Устранены уязвимости, исправленные в OpenSSL 1.0.1k: CVE-2015-0205 (приём клиентского сертификата DH без проверки), CVE-2014-3570 (вывод неверных значений при использовании больших чисел), CVE-2014-8275 (изменение отпечатка сертификата), CVE-2014-3572 (откат ECDHE до ECDH [Client]).
Уязвимости CVE-2015-0206 и CVE-2014-3510 были устранены в прошлых выпусках LibreSSL. Уязвимости CVE-2014-3571 (сбой сегментации в dtls1_get_record), CVE-2014-3569 (установка метода в NULL при конфигурации no-ssl3) и CVE-2015-0204 (на днях анонсированная атака FREAK, позволяющая откатить RSA до EXPORT_RSA) не проявляются в LibreSSL.
Началось формирование бинарных сборок LibreSSL для платформы Windows.

исправить +8 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/41798-libressl

Ключевые слова: libressl

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (18)

1.1, бедный буратино (ok), 11:01, 06/03/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Устранена порция проблем, выявленных в процессе автоматизированной проверки в системе Coverity; А весь OpenBSD чем-нибудь подобным регулярно проверяют? Никак не могу собрать удобного способа читать отчёты, поэтому особо за ними не слежу :(

2.2, Сергей Бронников (ok), 11:10, 06/03/2015 [^] [^^] [^^^] [ответить]	+1 +/–
Регулярно, насколько я знаю, нет, но до этого было много фиксов проблем в разных компонентах OpenBSD, найденных с помощью Coverity. Плюс разработчики стали активнее использовать afl: см http://undeadly.org/cgi?action=article&sid=20150305100712 и http://undeadly.org/cgi?action=article&sid=20150121093259

1.3, xPhoenix (ok), 11:55, 06/03/2015 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
Не спорю, OpenBSD - важный проект, но как там с пакетами? Какова доля этой ОС на серверах?

2.4, каппа (?), 12:34, 06/03/2015 [^] [^^] [^^^] [ответить]	–1 +/–
Да нормально вроде все с пакетами. А что конкретное интересует?

2.5, бедный буратино (ok), 12:41, 06/03/2015 [^] [^^] [^^^] [ответить]

+2 +/–

> но как там с пакетами?

С пакетами там - всё отлично. А вот без пакетов - плохо.

> Какова доля этой ОС на серверах?

Тяжела, ох тяжела доля на серверах. А вообще, лично я использую в основном на десктопе: собственно, это основная моя десктопная ОС.

2.7, . (?), 13:07, 06/03/2015 [^] [^^] [^^^] [ответить]

+1 +/–

какое отношение openbsd имеет к новости о libressl?
Вы вообще понимаете что это, для чего и для кого, или лишь бы квакнуть?

P.S. для пользователей либры, как я понимаю, единственная принципиальная новость-причина апгрейда - qualsys перестанет ныть, что Downgrade attack prevention No, TLS_FALLBACK_SCSV not supported - хотя это чистая косметика, ибо проваливаться обычно некуда (если только специально не повключать sslv3, который включать нельзя в любом случае)

3.8, бедный буратино (ok), 14:59, 06/03/2015 [^] [^^] [^^^] [ответить]	–1 +/–
> какое отношение openbsd имеет к новости о libressl? прямое :)

4.10, Andrey Mitrofanov (?), 16:01, 06/03/2015 [^] [^^] [^^^] [ответить]

+/–

>> какое отношение openbsd имеет к новости о libressl?
> прямое :)

Не отвлекаясь на ерунду типа того, что пред.оратор не прочёл ни заголовка новости, ни заголоака _своего поста, хочу спросить:

--Они там традиционно основную ветку будут делать не-портабельной, а портабельную ...ммм... необязательной? Вы же в курсе?

5.11, бедный буратино (ok), 16:09, 06/03/2015 [^] [^^] [^^^] [ответить]

–1 +/–

> --Они там традиционно основную ветку будут делать не-портабельной, а портабельную ...ммм... необязательной?

традиционно - это как openssh? а чем плох openssh? :)

> Вы же в курсе?

конечно. я же новости на опеннете читаю, и даже иногда - комментаторов :)

6.13, Andrey Mitrofanov (?), 16:27, 06/03/2015 [^] [^^] [^^^] [ответить]

+/–

>>портабельную ...ммм... необязательной?
> традиционно - это как openssh? а чем плох openssh? :)

Как openntpd. "Есть две версии - одна для нас и вторая - ненужная." Уникальный апстрим. И да, с openssh у них "не вышло".

>> Вы же в курсе?
> конечно. я же новости на опеннете читаю, и даже

Ой. Надо ж было новость почитать?

7.14, бедный буратино (ok), 16:35, 06/03/2015 [^] [^^] [^^^] [ответить]	–2 +/–
> Как openntpd. "Есть две версии - одна для нас и вторая - ненужная." ну, ntpd это часть основы системы - в том числе, оно должно на 1.44 дискету с установщиком помещаться, тут не пожируешь :) libressl - формально более независимый проект, не думаю, что будет отличаться от openssh... тем более, есть даже версия для windows, от чего я вообще подавился... а вообще - мне всё равно :)

8.17, Stax (ok), 15:11, 08/03/2015 [^] [^^] [^^^] [ответить]	+/–
Почему 1 44 дискету Почему не 2 88 дискету или 8Гб флешку, например ... текст свёрнут, показать

5.15, Аноним (-), 17:32, 06/03/2015 [^] [^^] [^^^] [ответить]	–1 +/–
Библиотека портабельная, но требуется править софт, завязаный на OpenSSL. Покури https://wiki.freebsd.org/LibreSSL

5.16, .. (?), 14:02, 07/03/2015 [^] [^^] [^^^] [ответить]

–1 +/–

> --Они там традиционно основную ветку будут делать не-портабельной, а портабельную

разумеется. Потому что при сборке мира конкретной операционки не имеет никакого смысла гонять configure, который без специальных, крайне неочевидных и неудобных телодвижений (ибо это по сути cross-build) вообще будет работать неправильно.
А либра неминуемо будет частью world, современную систему невозможно сделать хоть сколько-то пригодной к употреблению без крипто и ssl-библиотек.

То есть в любом случае надо будет модифицировать библиотеку - либо переносимую, чтобы ее можно было собирать вместе с world, либо системную, чтобы ее можно было собрать отдельно от дерева openbsd. Угадайте что выберут разработчики, если это разработчики openbsd.

Без всякой политической подоплеки - просто потому что им действительно _так_ удобнее.

Если вы считаете что это портит вам жизнь - спонсируйте или участвуйте в другом форке, их есть. Но на мой взгляд именно этот наиболее жизнеспособен.
В отличие от openssh, который был исключительно политиканской затеей вида "они там плохие п..сы, а мы вот хорошие [п..сы] и сделаем то же самое только ху... простите, бесплатно" - сделать хуже чем было не удастся в любом случае - хуже чем оно есть, уже просто не вообразить.

6.20, Аноним (-), 00:08, 10/03/2015 [^] [^^] [^^^] [ответить]	+/–
> В отличие от openssh, который был исключительно политиканской затеей вида "они там > плохие п..сы, а мы вот хорошие [п..сы] и сделаем то же > самое только ху... простите, бесплатно" - сделать хуже чем было не > удастся в любом случае - хуже чем оно есть, уже просто > не вообразить. Не буду комментировать насчёт «хуже», но вообще-то OpenSSH появился во многом из-за отнюдь не свободной лицензии (хотя бы и с открытым исходным кодом) на изначальную реализацию SSH. И именно OpenSSH продвигает во многом развитие данного протокола и плавный уход от legacy (вроде запрета SSHv1 по умолчанию).

7.21, ... (?), 13:28, 10/03/2015 [^] [^^] [^^^] [ответить]	+/–
я и говорю - лишь бы денег не платить При том что и денег-то хотели только за с... большой текст свёрнут, показать

8.22, Аноним (-), 21:40, 10/03/2015 [^] [^^] [^^^] [ответить]	+/–
И всё же, даже такая, сравнительно либеральная, политика автора сильно мешало ма... большой текст свёрнут, показать

5.19, Аноним (-), 00:00, 10/03/2015 [^] [^^] [^^^] [ответить]	+/–
Вы бы хоть вживую посмотрели, как это работает. И в чём чуть ваших претензий, что код более читаем, чем в варианте «добавим тонну #if для разных ОС»?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: