URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 109242
[ Назад ]

Исходное сообщение
"Выпуск LibreSSL 2.5.0"
Отправлено opennews , 28-Сен-16 11:13

Разработчики проекта OpenBSD представили (https://marc.info/?l=openbsd-announce&m=147502086132202&w=2) выпуск переносимой редакции пакета LibreSSL 2.5.0 (http://www.libressl.org/), в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Новая ветка ознаменовала начало разработки версии, которая будет развиваться параллельно с OpenBSD 6.1 и войдёт в состав данного релиза. Ветка 2.5.x позиционируется как экспериментальная и дополняет стабильные ветки 2.3.x и 2.4.x, для которых доступны корректирующие обновления  - 2.4.3 и 2.3.8. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы.

Особенности LibreSSL 2.5.0:
-  В libtls добавлена поддержка TLS-расширениий SNI (https://ru.wikipedia.org/wiki/Server_Name_Indication) (Server Name Indicator) и ALPN (https://en.wikipedia.org/wiki/Application-Layer_Protocol_Neg... (Application-Layer Protocol Negotiation, используется в HTTP/2);
-  В libtls добавлен новый callback-интерфейс для интеграции собственных функций ввода/вывода;
-  Для упрощения выбора надлежащих методов шифрования libtls произведено разбиение наборов шифров на четыре группы:

-       Безопасная "secure" (TLSv1.2+AEAD+PFS)
-       Совместимая "compat" (HIGH:!aNULL)
-       Устаревшая "legacy" (HIGH:MEDIUM:!aNULL)
-       Небезопасная "insecure" (ALL:!aNULL:!eNULL)
-  Библиотека  libtls теперь всегда загружает файлы удостоверяющих центров (CA), ключей и сертификатов во время вызова конфиугарционной функции;
-  Добавлена поддержка проверки валидности промежуточных сертификатов через OCSP (Online Certificate Status Protocol);

-  Из кодовой базы проекта BoringSSL импортированы функции, необходимые для работы stunnel и exim: X509_check_host, X509_check_email, X509_check_ip и X509_check_ip_asc;
-  Добавлена начальная поддержка платформы iOS;
-  Усилена обработка ошибок в tls_config_set_ciphers();
-  Улучшено поведение функции arc4random на платформе Windows;
-  Обеспечена корректная обработка обнаружения конца файла (EOF) на стадии до завершения согласования TLS-соединения;
-  Поддержка обратно совместимых c SSLv2 методов согласования соединения теперь активируется  только при включении TLS 1.0;
-  Прекращена поддержка Cryptographic Message Support (CMS).
Кроме того, в выпусках 2.5.0, 2.4.3 и 2.3.8 устранена уязвимость
(CVE-2016-6304 (https://www.opennet.me/opennews/art.shtml?num=45195)), которая может использоваться для инициирования утечки памяти. В LibreSSL проблема проявляется только при разрешении повторного согласования соединения (renegotiation), но на практике может привести лишь к небольшим утечкам памяти, так как для повторных согласований соединения действует ограничение в 3 пересогласования за 300 секунд. Другие недавно выявленные в OpenSSL уязвимости CVE-2016-6305, CVE-2016-6307, CVE-2016-6308 и CVE-2016-6309 не затрагивают  LibreSSL, а уязвимость CVE-2016-6306 была устранена ещё два года назад.  Из превентивных исправлений в LibreSSL отмечается блокировка отката на недостаточно надёжные методы хэширования для (EC)DH  при использовании SNI через libssl.
URL: https://marc.info/?l=openbsd-announce&m=147502086132202&w=2
Новость: http://www.opennet.me/opennews/art.shtml?num=45228

Содержание

Выпуск LibreSSL 2.5.0,Аноним, 11:13 , 28-Сен-16
- Выпуск LibreSSL 2.5.0,pda, 11:43 , 28-Сен-16
  - Выпуск LibreSSL 2.5.0,h31, 12:29 , 28-Сен-16
    - Выпуск LibreSSL 2.5.0,эцсамое, 14:45 , 28-Сен-16
    - Выпуск LibreSSL 2.5.0,Аноним, 15:36 , 28-Сен-16
      - Выпуск LibreSSL 2.5.0,xm, 18:56 , 28-Сен-16
        
        Выпуск LibreSSL 2.5.0,Аноним, 19:45 , 28-Сен-16
        
        Выпуск LibreSSL 2.5.0,Аноним, 20:18 , 28-Сен-16
        
        Выпуск LibreSSL 2.5.0,Аноним, 04:38 , 29-Сен-16
        
        Выпуск LibreSSL 2.5.0,Аноним, 08:38 , 29-Сен-16
        
        Выпуск LibreSSL 2.5.0,Аноним, 21:40 , 29-Сен-16
        
        Выпуск LibreSSL 2.5.0,xm, 11:56 , 29-Сен-16
        
        Выпуск LibreSSL 2.5.0,Аноним, 21:41 , 29-Сен-16
        
        Выпуск LibreSSL 2.5.0,xm, 21:56 , 30-Сен-16
  - Выпуск LibreSSL 2.5.0,Ilya Indigo, 20:17 , 28-Сен-16
- Выпуск LibreSSL 2.5.0,Ilya Indigo, 20:15 , 28-Сен-16
Выпуск LibreSSL 2.5.0,Аноним, 11:14 , 28-Сен-16
- Выпуск LibreSSL 2.5.0,Аноним, 13:04 , 28-Сен-16
  - Выпуск LibreSSL 2.5.0,Аноним, 16:24 , 28-Сен-16
- Выпуск LibreSSL 2.5.0,xm, 18:57 , 28-Сен-16
  - Выпуск LibreSSL 2.5.0,Аноним, 19:28 , 28-Сен-16

Сообщения в этом обсуждении

"Выпуск LibreSSL 2.5.0"
Отправлено Аноним , 28-Сен-16 11:13

не не, нафиг, в opensuse tumbleweed одно только удаление openssl 1.0.2h просит снести пол системы. приблуда имхо только для всяких там бсд вот пущай там и живет

"Выпуск LibreSSL 2.5.0"
Отправлено pda , 28-Сен-16 11:43

Там же rpm. Надо просто правильно приготовить, чтобы пакет с либрой заменил openssl, одновременно объявляя о предоставлении его фич.

"Выпуск LibreSSL 2.5.0"
Отправлено h31 , 28-Сен-16 12:29

Libressl не сможет заменить openssl 1.0.2. Они несовместимы, что по API, что по ABI.

"Выпуск LibreSSL 2.5.0"
Отправлено эцсамое , 28-Сен-16 14:45

насколько я знаю, совместимость по API планируется.
есть ссылки для подтверждения?

"Выпуск LibreSSL 2.5.0"
Отправлено Аноним , 28-Сен-16 15:36

На ABI нас рать, можно пересобрать софт. С API да, жопка.

"Выпуск LibreSSL 2.5.0"
Отправлено xm , 28-Сен-16 18:56

Да там и с функционалом то же. Вон, только SNI добавили...

"Выпуск LibreSSL 2.5.0"
Отправлено Аноним , 28-Сен-16 19:45

Они фичи заново переписывают и кричат, что оно на 95% безопаснее?

"Выпуск LibreSSL 2.5.0"
Отправлено Аноним , 28-Сен-16 20:18

они сперва удаляют старые фичи, потом добавляют свои с уязвимостями.

"Выпуск LibreSSL 2.5.0"
Отправлено Аноним , 29-Сен-16 04:38

Не, тут без уязвимостей

"Выпуск LibreSSL 2.5.0"
Отправлено Аноним , 29-Сен-16 08:38

Ну да, конечно же.

"Выпуск LibreSSL 2.5.0"
Отправлено Аноним , 29-Сен-16 21:40

> Ну да, конечно же.
Сходите и сравните CVE по обоим продуктам за год сами.

"Выпуск LibreSSL 2.5.0"
Отправлено xm , 29-Сен-16 11:56

Так у них весь софт так. Возьмите хоть openntpd или opensmtpd. Функционал, мягко говоря, хромает, но, типа, секьюрно.

"Выпуск LibreSSL 2.5.0"
Отправлено Аноним , 29-Сен-16 21:41

> Так у них весь софт так. Возьмите хоть openntpd или opensmtpd. Функционал,
> мягко говоря, хромает, но, типа, секьюрно.
Вы забыли ещё упомянуть, что он работает. Без лишнего геморроя.

"Выпуск LibreSSL 2.5.0"
Отправлено xm , 30-Сен-16 21:56

Можно ездить на велосипеде, а можно на автомобиле.
Так вот велосипед тоже работает. И геморроя сильно меньше чем с автомобилем.

"Выпуск LibreSSL 2.5.0"
Отправлено Ilya Indigo , 28-Сен-16 20:17

> Там же rpm. Надо просто правильно приготовить, чтобы пакет с либрой заменил
> openssl, одновременно объявляя о предоставлении его фич.
К сожалению, это не единственная проблема. Нужна явная, документированная поддержка в софте.

"Выпуск LibreSSL 2.5.0"
Отправлено Ilya Indigo , 28-Сен-16 20:15

И виновато в этом, конечно, именно libreSSL. Исключительная логика!

"Выпуск LibreSSL 2.5.0"
Отправлено Аноним , 28-Сен-16 11:14

когда я ее использовал на OPNSENSE были некоторые странности в работе с сайтами по https. в итоге я даже на бсдшном дистре вернул обратно обыкновенный openssl.

"Выпуск LibreSSL 2.5.0"
Отправлено Аноним , 28-Сен-16 13:04

Какие были странности?

"Выпуск LibreSSL 2.5.0"
Отправлено Аноним , 28-Сен-16 16:24

> Какие были странности?
Странные

"Выпуск LibreSSL 2.5.0"
Отправлено xm , 28-Сен-16 18:57

> когда я ее использовал на OPNSENSE были некоторые странности в работе с
> сайтами по https. в итоге я даже на бсдшном дистре вернул
> обратно обыкновенный openssl.
Ну так оно протокол TLS то поддерживает, мягко говоря, не полностью.

"Выпуск LibreSSL 2.5.0"
Отправлено Аноним , 28-Сен-16 19:28

OpenSSL поддерживает все баги для инжекта и удаленного выполнения поверх протокола TLS немного иронии.