The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск LibreSSL 2.3.0

24.09.2015 10:27

Разработчики проекта OpenBSD представили выпуск переносимой редакции пакета LibreSSL 2.3.0, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы.

Новая ветка ознаменовала начало разработки версии, которая будет развиваться параллельно с OpenBSD 5.9 и войдёт в состав данного релиза. Ветка 2.3.x позиционируется как экспериментальная и дополняет стабильные ветки 2.2.x и 2.1.x (стабилизация ABI/API LibreSSL 2.3.x ожидается в марте 2016 года).

Ключевые изменения:

  • Удалён код, обеспечивающий поддержку SSLv3 и SHA-0;
  • Внесены изменения в API libtls: добавлена поддержка верификации на стороне клиента (клиент инициирует передачу сертификата серверу), улучшена работа вызовов tls_read/write при использовании внешних библиотек с реализацией моделей асинхронной обработки событий;
  • Добавлены дополнительные проверки параметров "p" и "q" сериализированных ключей DSA;
  • Прекращена поддержка DTLS_BAD_VER (реализации до выпуска DTLSv1);
  • В утилите openssl прекращена поддержка команды engine;
  • Добавлен интерфейс OPENSSL_cpu_caps, запрещающий изменение флагов CPU из связанного с библиотекой приложения. Удалены вызовы OPENSSL_ia32cap и OPENSSL_ia32cap_loc;
  • Утилита 'nc', которую можно использовать в качестве простой замены команд 'openssl s_client' и 'openssl s_server', переведена на использование библиотеки libtls для клиентских и серверных операций, и включена в состав архива libressl-portable в качестве примера использования libtls.


  1. Главная ссылка к новости (https://marc.info/?l=openbsd-a...)
  2. OpenNews: Выпуск LibreSSL 2.2.3
  3. OpenNews: Выпуск LibreSSL 2.2.2
  4. OpenNews: Microsoft стал первым золотым спонсором OpenBSD. Выпуск LibreSSL 2.2.1 с поддержкой Windows
  5. OpenNews: Релиз LibreSSL 2.2.0
  6. OpenNews: Обновление LibreSSL 2.1.5
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/43025-libressl
Ключевые слова: libressl
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (15) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 10:44, 24/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    Вот уже 3 релиза слышу про SSLv3. Так и не могут выпилить?
     
     
  • 2.4, . (?), 12:19, 24/09/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    мне вот вообще неясно, зачем его героически выпиливать.
    Существует куча исторического дерьма, где никаких других протоколов нет и не будет - потому что это железные appliance, древние софтины все-в-одном с вымершими разработчиками и т д.
    Запретить случайное использование - да, сделать сборку требующей специальных телодвижений - ну-у-у-у, хрен знает, стоит ли этот геморрой свеч, а выпиливать вовсе - значит тем, кому оно на самом деле нужно, придется держать зоопарк. Популярности libressl это не прибавит ничуть.

    При этом есть как минимум уже одна серьезная проблема, связанная с этим выпиливанием. Известна она - разработчикам nginx, в libressl не сдана, потому что тем пофиг. А это, вполне возможно - дыра для эксплойтов.

     
     
  • 3.5, Snaut (ok), 12:25, 24/09/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    Абсолютно согласен. Необходимо оставить поддержку. Отключить по умолчанию в сборе - да. Но не совсем выпилить. Популярности точно не прибавит.
     
     
  • 4.7, . (?), 12:34, 24/09/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    ну, в stable-ветке она кое-как оставлена, но, скажем, собрать любой распространенный браузер с ней не получится.
    Угадайте, куда я пошлю идею на этом основании, к примеру, выбросить на помойку пару стоек серверов, у которых встроенный kvm поддерживает только и исключительно ssl3? При том что в public он, разумеется, не торчит, и ssl3 там вполне достаточен - защищает от случайного раскрытия данных, а от целенаправленной атаки есть другие меры.
    Поэтому на помойку полетит именно libressl. Жаль, но выбора нет.

     
     
  • 5.13, Elhana (ok), 15:01, 25/09/2015 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Firefox 39: Removed support for insecure SSLv3 for network.
    Chrome вроде аналогично, хотя я не искал специально.
    Слишком много на помойку выкидывать придется - может так получится, что дешевле выкинуть пару стоек серверов.

    Выбор всегда есть - поставьте себе отдельный доисторический браузер с доисторической версией openssl или прокси и ходите на свое говножелезо.

     
  • 3.6, andy (??), 12:25, 24/09/2015 [^] [^^] [^^^] [ответить]  
    		• +5 +/
    > мне вот вообще неясно, зачем его героически выпиливать.

    ему сказали adieu!
    https://tools.ietf.org/html/rfc7568

     
  • 3.9, Аноним (-), 13:32, 24/09/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    Если бы мсье был хоть немного осведомлен о проекте OpenBSD, в рамках которого развивается LibreSSL, то знал бы, что это сообщество разработчиков, которое пытается сделать ПО лучше, жертвуя обратной совместимостью (и прочим подобным) в угоду пользе, во всяком случае так его позиционирует Тео. Если кому-то требуется работа с кучей исторического ПО - проследуйте в OpenSSL, благо он еще есть, а лучше перестаньте есть кактус.
     
     
  • 4.10, . (?), 15:00, 24/09/2015 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    мсье в достаточной степени знаком с openbsd, чтобы понять что вы несете полный бред. И ни Тео, ни кто другой ее никогда так не позиционировал. Как и libressl. Вот про "десять лет без эксплойтов выключенной из розетки системы" - это было, да.
    А тому, чего ради эту затею на самом деле затевали - героическое "избавление от ssl3" скорее вредит, segfault'ы в nginx (в libressl из него некошерно вызываемой, на самом деле) тому подтверждение. Возможно - exploitable, никому "недосуг" разобраться.

    Нет, работа с "кучей исторического ПО" не требуется (историческое ПО прекрасно соберется с историческими версиями библиотек и вряд ли - с современными), вы, видимо в силу весьма ограниченных знаний о мире, не осилили понять, о чем речь.

     
     
  • 5.11, cvsup1 (?), 18:19, 24/09/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    Подробнее про segfault'ы ?
     
     
  • 6.12, . (?), 14:29, 25/09/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    http://forum.nginx.org/read.php?2,256381,256381

    там мало подробностей, но вполне достаточно информации чтобы человек, обладающий должной квалификацией, разобрался. А у кого ее нет - не сможет зарепортить openbsd'шникам так чтоб его не послали, так что может не тратить время.

     
     
  • 7.14, cvsup1 (?), 20:20, 25/09/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    Тамошний топикстартер проигнорировал просьбы предоставить
    отладочную информацию, ну и ссзб, что тут сказать.
     
     
  • 8.16, . (?), 12:06, 28/09/2015 [^] [^^] [^^^] [ответить]  
    		• +/
    тамошний топикстартер решил _свою_ проблему - таки уговорил воткнуть мое испра... текст свёрнут, показать
     

  • 1.2, Аноним (-), 11:23, 24/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Есть идея на два миллиарда баксов. Надо следующую версию назвать 231
     
     
  • 2.3, Аноним (-), 12:09, 24/09/2015 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    Леннарт, ты что ли?
     
     
  • 3.8, Аноним (-), 13:01, 24/09/2015 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Нет, его начальник. Леннарт на процедурах.
     

  • 1.15, Аноним (-), 21:00, 26/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Пусть выпиливают все что считают ненужным, так можно держать код в чистоте, а вот те кому нужен старых код должны его сами поддерживать. Чистота кода значит меньше ошибок.
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру