The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

03.05.2017 08:19  Выпуск LibreSSL 2.5.4 с устранением уязвимости

Разработчики проекта OpenBSD опубликовали выпуск переносимой редакции пакета LibreSSL 2.5.4, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы.

В новой версии:

  • Отменено изменение, привязавшее код возврата и код ошибки при выполнении callback-обработчиков верификации сертификатов, что нарушало документированный API и приводило к пропуску проверки сертификатов в nginx и некоторых других программах (CVE-2017-8301);
  • Реализация вызова getrandom() в Linux переведена на работу в неблокирующем режиме с задействованием запасного обработчика в случае сбоя, что позволяет обойти проблемы с обращением к Linux-вызову getrandom(2) на ранних стадиях загрузки, когда пул энтропии ещё не инициализирован;
  • Устранена ошибка, которая могла приводить к ложному результату верификации DTLS Cookie (при некоторых условиях ssl3_get_client_hello() возвращал успешный код возврата вместо кода ошибки);
  • Решены проблемы со сборкой на системах под управлением ОС Solaris.


  1. Главная ссылка к новости (http://www.mail-archive.com/an...)
  2. OpenNews: Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-сертификатов в nginx
  3. OpenNews: Выпуск LibreSSL 2.5.2
  4. OpenNews: Новые выпуски LibreSSL 2.5.1, 2.4.5 и 2.3.10
  5. OpenNews: Выпуск LibreSSL 2.5.0
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: libressl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Ilya Indigo, 11:43, 03/05/2017 [ответить] [смотреть все]
  • +/
    > Отменено изменение, привязавшее код возврата и код ошибки при выполнении callback-обработчиков верификации сертификатов, что нарушало документированный API...

    Мда... мне уже перехотелось везде сабж вместо openSSL.

     
     
  • 2.2, НеТерпило, 12:01, 03/05/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +3 +/
    То есть вы игнорируете проблемы похлеще которые в openSSL?
     
     
  • 3.4, Ilya Indigo, 12:12, 03/05/2017 [^] [ответить] [смотреть все]
  • –3 +/
    Я НЕ игнорирую их Я этого НЕ писал Суть в том, что шило на мыло И я не помню ... весь текст скрыт [показать]
     
     
  • 4.5, Аноним, 12:18, 03/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Дырявый OpenSSL и не должен ломать совместимость, при установке соединения с бэк... весь текст скрыт [показать]
     
     
  • 5.13, анон, 00:29, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Всегда умилял ТАКОЙ аргумент А у вас зломер есть Промышленный или самопал Е... весь текст скрыт [показать]
     
     
  • 6.17, Аноним, 08:29, 04/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Не используй *SSL библиотеки.
     
  • 3.6, пох, 13:37, 03/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    список проблем изложите, пожалуйста Не тех, которые - следствие продолжения раз... весь текст скрыт [показать]
     
  • 2.7, пох, 13:39, 03/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    ну хоть до одного потихоньку дошло ... весь текст скрыт [показать] [показать ветку]
     
  • 2.22, F, 16:30, 04/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Мистер Хотелкин?
     
  • 1.8, бедный буратино, 14:25, 03/05/2017 [ответить] [смотреть все]  
  • –1 +/
    это только портированная версия. белых людей, пользующихся оригиналом, это не касается.
     
     
  • 2.9, пох, 15:15, 03/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    я вам уже отвечал в аналогичном треде - касается, этот коммит взят из апстрима ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.10, бедный буратино, 16:42, 03/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    учи матчасть
     
     
  • 4.11, пох, 17:56, 03/05/2017 [^] [ответить] [смотреть все]  
  • +/
    -/* $OpenBSD: x509_vfy.c,v 1.57 2017/01/20 00:37:40 beck Exp $ */
    +/* $OpenBSD: x509_vfy.c,v 1.58 2017/01/21 01:07:25 beck Exp $ */

    продолжай рассказывать сказки, ага. глядишь, злые хакеры послушают-послушают, и поведутся что ты весь такой неуязвимый.


     
     
  • 5.12, бедный буратино, 20:12, 03/05/2017 [^] [ответить] [смотреть все]  
  • +/
    какая буква в слове *учи матчасть* непонятна?
     
     
  • 6.14, cmp, 04:14, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Непонятно какое это имеет отношение к делу, есть софт, есть дыра, заявление о более щепетильном отношении к безопасности скомпрометировано. В каких там версиях бсд и сабжа оно появилось в каких пропало, к сути дела не имеет, обосрасись разрабы, факт.
     
     
  • 7.15, бедный буратино, 06:49, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    а ты вообще вкурсе, что, скажем, OpenSSH в OpenBSD и OpenSSH где-то ещё - это две большие разницы? то же относится и к LibreSSL и ко много чему ещё
     
  • 7.16, бедный буратино, 06:51, 04/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    > Непонятно какое это имеет отношение к делу

    Кто хоть раз собирал порты в OpenBSD, тот такого тупого вопроса даже не задаст

    Я бы это сформулировал так *какое отношение к тому, что самолёты летают имеет то, что люди не летают*

     
     
  • 8.18, cmp, 10:52, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Чувак, большая разница между микроском и носорогом, а софт который клепают васьки из бсд целиком и полностью на их совести.
     
  • 7.20, пох, 11:16, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    никакого - чувак просто вообще не понимает о чем речь - загипнотизировал себя ма... весь текст скрыт [показать]
     
     
  • 8.21, пох, 11:24, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    > показанный мной кусок говорит, откуда именно взялась дыра - там даже имя
    > автора фигурирует. Нет, это не изобретение тех кто портирует - они
    > не пользуются cvs с патчем имени openbsd.

    кстати, попутно, это демонстрация, почему cvs вместе с патчем надо было давным-давно выкинуть (и нет, svn тоже не лучше ровно ничем) в пользу современных средств управления версиями. "commit every change" очень хреновая идея, когда этот коммит не у себя дома, а в удаленную базу, из которой кто-то другой в этот момент может сделать update, а review в этом механизме впихнуть некуда.
    Иначе, возможно, баг так и остался бы у beck на локальной машине, где он бы его вовремя заметил. (возможно, конечно, и нет)


     
  • 6.19, пох, 11:06, 04/05/2017 [^] [ответить] [смотреть все]  
  • +/
    непонятно откуда у "учителя" столько апломба при нулевом владении темой.
    И да, "порты" никакого отношения к делу тоже не имеют, зачем ты их приплел - тоже загадка.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor