Разработчики проекта OpenBSD представили (http://marc.info/?l=openbsd-tech&m=142655686417434) выпуск переносимой редакции пакета LibreSSL 2.1.5 (http://www.libressl.org/), в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Новая версия в основном носит корректирующий характер и исправляет проблемы перед созданием ветки LibreSSL 2.2, которая будет развиваться параллельно с OpenBSD 5.8. Из изменений можно отметить только улучшение поддержки платформы Windows и запрет на использование серверных DH-ключей, размером менее 1024 бит.В LibreSSL 2.1.5 также возможно устранена уязвимость, исправление которой ожидается в завтрашнем выпуске OpenSSL. Разработчики OpenSSL выпустили (https://mta.openssl.org/pipermail/openssl-announce/2015-Marc...) предварительное предупреждение, в котором уведомили пользователей о выходе 19 марта обновлений OpenSSL 1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf, в которых будут устранены уязвимости, одна из которых отмечена как опасная. Детали о новых уязвимостях в OpenSSL пока неизвестны, в том числе разработчикам LibreSSL, но они рассчитывают (http://marc.info/?l=openbsd-misc&m=142654095813320&w=2), что данные проблемы уже устранены в результате переработки LibreSSL.
URL: http://marc.info/?l=openbsd-tech&m=142655686417434
Новость: http://www.opennet.me/opennews/art.shtml?num=41867
> одна из которых отмечена как опасная.Но она относится только к версии 1.0.2, которой пока мало кто пользуется:
http://www.openwall.com/lists/oss-security/2015/03/17/2
> Детали о новых уязвимостях в OpenSSL пока неизвестны,
Кое-что известно:
http://www.openwall.com/lists/oss-security/2015/03/18/5
Пока публично говорят о четырех уязвимостях, три из которых разработчики сознательно не держат в секрете, а о четвертой стал говорить (впрочем, без подробностей, кроме CVE ID и того что это 1.0.2 server DoS) по-видимому тот кто ее нашел.
> в том числе разработчикам LibreSSL
Подробности об этих уязвимостях всё же переслали разработчикам LibreSSL еще вчера, см. следующее письмо в том же треде.
Удаленное выполнение кода или Аттака на повышение привилегий по типу RowHammer нет?
> впрочем, без подробностейХороший повод послать такую либу (да и весь TLS) в пешее эротическое. В ней столько багов что разработчики уже стесняются об этом говорить.
Вы работник ФСБ по расшифровке трафика? ну как трудно декодировать TLSv1.2 ?
Я не работник ФСБ, но имею некое отношение к тематике и поэтому догадываюсь что от огроменной либы и суперсложного кода могут быть только неприятные сюрпризы. И много.Вон недавно опять доперли что в половине случаев шифры можно даунгрейднуть до "экспортных" (а вот это АНБ уже одобряет). В результате по состоянию на данный момент видя "https" или "ssl" как-то сильно рано делать выводы о каком либо уровне безопасности.
Сферический TLS 1.2 в вакууме может быть был бы и не так уж плох. В допущении что легаси выкинуто и его можно реализовать без ошибок со всей этой кучей фич. А на практике будет то что и наблюдается. А какие-нибудь проприерасы вообще тихой сапой починят 10 багов и не расскажут даже в деталях что там было. Впрочем, для начала там нет уверенности что все честно.
Да нет, благодаря X.509 нетрудно, пока мы можем учредить свой центр сертификации и продвинуть его сертификат в системные и браузерные бандлы.
Это же секретная информация, такое нельзя спрашивать!
>> впрочем, без подробностей
> Хороший повод послать такую либу (да и весь TLS) в пешее эротическое.
> В ней столько багов что разработчики уже стесняются об этом говорить.Можно много и по делу ругать OpenSSL да и весь TLS, но повод как раз плохой. Как сказано в тексте новости, разработчики опубликуют подробности упомянутых уязвимостей завтра.