OpenForum RSS: Обновление LibreSSL 2.1.5 https://www.opennet.me/openforum/vsluhforumID3/101783.html Разработчики проекта OpenBSD представили (http://marc.info/?l=openbsd-tech&m=142655686417434) выпуск переносимой редакции пакета LibreSSL 2.1.5 (http://www.libressl.org/), в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Новая версия в основном носит корректирующий характер и исправляет проблемы перед созданием ветки LibreSSL 2.2, которая будет развиваться параллельно с OpenBSD 5.8. Из изменений можно отметить только улучшение поддержки платформы Windows и запрет на использование серверных DH-ключей, размером менее 1024 бит.<br><br><br><br>В LibreSSL 2.1.5 также возможно устранена уязвимость, исправление которой ожидается в завтрашнем выпуске OpenSSL. Разработчики OpenSSL выпустили (https://mta.openssl.org/pipermail/openssl-announce/2015-March/000 Обновление LibreSSL 2.1.5 (ПолковникВасечкин) https://www.opennet.me/openforum/vsluhforumID3/101783.html#12 Fri, 20 Mar 2015 08:36:49 GMT Это же секретная информация, такое нельзя спрашивать!<br> Обновление LibreSSL 2.1.5 (solardiz) https://www.opennet.me/openforum/vsluhforumID3/101783.html#9 Thu, 19 Mar 2015 00:56:14 GMT &gt;&gt; впрочем, без подробностей <br>&gt; Хороший повод послать такую либу (да и весь TLS) в пешее эротическое. <br>&gt; В ней столько багов что разработчики уже стесняются об этом говорить. <br><br>Можно много и по делу ругать OpenSSL да и весь TLS, но повод как раз плохой. Как сказано в тексте новости, разработчики опубликуют подробности упомянутых уязвимостей завтра.<br> Обновление LibreSSL 2.1.5 (Товарищ майор) https://www.opennet.me/openforum/vsluhforumID3/101783.html#7 Wed, 18 Mar 2015 20:57:48 GMT Да нет, благодаря X.509 нетрудно, пока мы можем учредить свой центр сертификации и продвинуть его сертификат в системные и браузерные бандлы.<br> Обновление LibreSSL 2.1.5 (Аноним) https://www.opennet.me/openforum/vsluhforumID3/101783.html#5 Wed, 18 Mar 2015 19:28:49 GMT Я не работник ФСБ, но имею некое отношение к тематике и поэтому догадываюсь что от огроменной либы и суперсложного кода могут быть только неприятные сюрпризы. И много.<br><br>Вон недавно опять доперли что в половине случаев шифры можно даунгрейднуть до "экспортных" (а вот это АНБ уже одобряет). В результате по состоянию на данный момент видя "https" или "ssl" как-то сильно рано делать выводы о каком либо уровне безопасности. <br><br>Сферический TLS 1.2 в вакууме может быть был бы и не так уж плох. В допущении что легаси выкинуто и его можно реализовать без ошибок со всей этой кучей фич. А на практике будет то что и наблюдается. А какие-нибудь проприерасы вообще тихой сапой починят 10 багов и не расскажут даже в деталях что там было. Впрочем, для начала там нет уверенности что все честно.<br> Обновление LibreSSL 2.1.5 (Капитан) https://www.opennet.me/openforum/vsluhforumID3/101783.html#4 Wed, 18 Mar 2015 17:44:57 GMT Вы работник ФСБ по расшифровке трафика? ну как трудно декодировать TLSv1.2 ?<br> Обновление LibreSSL 2.1.5 (Аноним) https://www.opennet.me/openforum/vsluhforumID3/101783.html#3 Wed, 18 Mar 2015 17:28:56 GMT &gt; впрочем, без подробностей<br><br>Хороший повод послать такую либу (да и весь TLS) в пешее эротическое. В ней столько багов что разработчики уже стесняются об этом говорить.<br> Обновление LibreSSL 2.1.5 (Капитан) https://www.opennet.me/openforum/vsluhforumID3/101783.html#2 Wed, 18 Mar 2015 16:00:10 GMT Удаленное выполнение кода или Аттака на повышение привилегий по типу RowHammer нет?<br> Обновление LibreSSL 2.1.5 (solardiz) https://www.opennet.me/openforum/vsluhforumID3/101783.html#1 Wed, 18 Mar 2015 11:39:31 GMT &gt; одна из которых отмечена как опасная.<br><br>Но она относится только к версии 1.0.2, которой пока мало кто пользуется:<br><br>http://www.openwall.com/lists/oss-security/2015/03/17/2<br><br>&gt; Детали о новых уязвимостях в OpenSSL пока неизвестны,<br><br>Кое-что известно:<br><br>http://www.openwall.com/lists/oss-security/2015/03/18/5<br><br>Пока публично говорят о четырех уязвимостях, три из которых разработчики сознательно не держат в секрете, а о четвертой стал говорить (впрочем, без подробностей, кроме CVE ID и того что это 1.0.2 server DoS) по-видимому тот кто ее нашел.<br><br>&gt; в том числе разработчикам LibreSSL<br><br>Подробности об этих уязвимостях всё же переслали разработчикам LibreSSL еще вчера, см. следующее письмо в том же треде.<br>