Выпуск LibreSSL 2.1.4 — форка OpenSSL от проекта OpenBSD

6 марта 2015 года

Разработчики проекта OpenBSD представили новый значительный выпуск переносимой редакции пакета LibreSSL 2.1.4, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Из особенностей LibreSSL можно отметить ориентацию на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы.

Среди новшеств, представленных в выпуске LibreSSL 2.1.4:

  • Расширены возможности библиотеки libtls с реализацией развиваемого проектом LibreSSL нового упрощённого программного интерфейса для обеспечения шифрованного канала связи между клиентом и сервером. Добавлен новый API для загрузки цепочек сертификатов удостоверяющих центров (CA) непосредственно из памяти, а не из файла, что позволяет обеспечить выполнение верификации в системах с разделением привилегий и в изолированных chroot-окружениях без прямого доступа к файлам с сертификатами CA. По умолчанию задействованы шифры TLSv1.2 с блочным шифрами AEAD и механизмом согласования ключей PFS. Улучшен код обработки ошибок и генерации сообщений;
  • Добавлен API X509_STORE_load_mem для загрузки сертификатов из памяти. API позволяет организовать работу с сертификатами из chroot-окружений;
  • Добавлен новый псевдоним AEAD ("MAC alias"), позволяющий настраивать TLSv1.2 шифры AEAD указывая 'TLSv1.2+AEAD' в качестве строки выбора шифра;
  • В утилиту openssl добавлена новая команда "certhash", которая заменила собой скрипт "c_rehash";
  • Для обеспечения совместимости с различными системами аудита и сканерами безопасности реализована поддержка TLS_FALLBACK_SCSV на стороне сервера;
  • Продолжена чистка неактуального и неиспользуемого кода, в том числе удалён код MD5, SCTP, RFC 3779, обходные механизмы поддержки Netscape, не связанные с POSIX методы ввода/выводы, секции "#if 0";
  • Для улучшения читаемости и упрощения сопровождения доработан макрос ASN1;
  • Удалены различные исключения, связанные с проверкой указателей NULL. Вместо них для отлова обращения к NULL-указателям используются средства ОС и обработчики сигналов;
  • Переработан код обработки аргументов в утилите openssl;
  • Добавлена поддержка сборки с опцией OPENSSL_NO_DEPRECATED;
  • Устранена порция проблем, выявленных в процессе автоматизированной проверки в системе Coverity;
  • Устранена серия проблем с безопасностью. Исправлена незначительная утечка информации по сети из-за передачи дополнительных 28 байт из блока .rodata или .data. Устранены уязвимости, исправленные в OpenSSL 1.0.1k: CVE-2015-0205 (приём клиентского сертификата DH без проверки), CVE-2014-3570 (вывод неверных значений при использовании больших чисел), CVE-2014-8275 (изменение отпечатка сертификата), CVE-2014-3572 (откат ECDHE до ECDH [Client]).

Уязвимости CVE-2015-0206 и CVE-2014-3510 были устранены в прошлых выпусках LibreSSL. Уязвимости CVE-2014-3571 (сбой сегментации в dtls1_get_record), CVE-2014-3569 (установка метода в NULL при конфигурации no-ssl3) и CVE-2015-0204 (на днях анонсированная атака FREAK, позволяющая откатить RSA до EXPORT_RSA) не проявляются в LibreSSL.

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Выпуск LibreSSL 2.1.4 — форка OpenSSL от проекта OpenBSD», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.