Релиз библиотеки OpenSSL 1.0.0 и обновление 0.9.8n с устранением уязвимости

29 марта 2010 года

Вышел релиз библиотеки с реализацией протоколов SSL/TLS - OpenSSL 1.0.0, В новой версии представлено более 100 улучшений (Архивная копия от 20 августа 2014 на Wayback Machine), особенно много изменений связано с попытками увеличения надежности, безопасности и стабильности.

Основные новшества:

  • Добавлена поддержка российских криптографических алгоритмов, реализованных благодаря компании Криптоком (Архивная копия от 18 мая 2010 на Wayback Machine). Например, поддерживаются стандарты: ГОСТ Р 34.10-2001 (электронная подпись ); VKO 34.10-2001 (распределение ключей ); ГОСТ Р 34.11-94 (хэширование); ГОСТ 28147-89 (симметричное шифрование);
  • Упрощение указания типов хешей и шифров при работе в командной строке, отныне можно указывать как "openssl dgst -sha256 foo", так и в сокращенном виде "openssl sha256 foo".
  • Для записи приватных ключей по умолчанию используется формат PKCS#8, независимый от MD5 хешей;
  • При участии Google реализована поддержка: Delta CRL (Certificate Revocation Lists) списков аннулированных сертификатов, определяющих только сертификаты, статус которых был изменен относительно базового CRL; "partitioned" CRL, списков разбитых на разделы в зависимости от кода причины аннулирования сертификата; начальная поддержка "indirect CRL"; плюс еще около 5 улучшений в поддержке CRL;
  • Новые расширения: "policy mappings extension", "freshest CRL extension", "Opaque PRF Input TLS extension";
  • Начальная поддержка CMS (Cryptographic Message Syntax), определенного в RFC3850, RFC3851 и RFC3852. Управление производится через утилиту cms;
  • В ядро библиотеки интегрирован код для увеличения безопасности, через жесткую проверку типов. Для оптимизации потребления памяти добавлен режим SSL_MODE_RELEASE_BUFFERS, при котором производится освобождение неиспользуемых буферов. Изменен подход при обработке строковых данных в коде SSL/TLS;
  • Добавлен оптимизирующий код на ассемблере для архитектур s390x и ARMv4;
  • Добавлена поддержка RFC4507 для более безопасной организации клиентских сессий, а также RFC 4279 для подключения комплектов pre-shared PSK TLS шифров. Добавлена совместимость с RFC 3161, RFC 3280;
  • Добавлена поддержка сборки в gcc 4.2;
  • Добавлена поддержка dsa-with-SHA224 и dsa-with-SHA256, а также поддержка типов сигнатур ecdsa-with-SHA224/256/384/512;

Дополнительно можно отметить выход корректирующего релиза OpenSSL 0.9.8n в котором исправлено несколько серьезных ошибок и устранена опасная уязвимость(недоступная ссылка). Исправленная уязвимость позволяла удаленному злоумышленнику вызвать крах клиента или сервера, использующих функцию ssl3_get_record(), отправив в рамках TLS-соединения запрос с некорректно оформленным заголовком.

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Релиз библиотеки OpenSSL 1.0.0 и обновление 0.9.8n с устранением уязвимости», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.