LibreSSL 2.2.0

Разработчики проекта OpenBSD представили выпуск переносимой редакции пакета http://www.libressl.org/ LibreSSL 2.2.0, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Новая версия будет развиваться параллельно с OpenBSD 5.8 и войдёт в состав данного релиза. Одновременно доступен корректирующий выпуск LibreSSL 2.1.7, в котором отражены исправления, связанные с устранением уязвимости. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы.

Среди новшеств, представленных в выпуске LibreSSL 2.2.0:

• Поддержка платформ AIX и Cygwin;
• Переработка сборочных макросов. Поддержка формирования независимых пакетов с libtls, является первым шагом на пути к обеспечению сборки и работы OpenSSL с libtls;
• Удаление OPENSSL_issetugid и всех вызовов getenv из библиотеки, приложения отныне не могут изменять поведение библиотеки через переменные окружения. В утилите openssl поддержка переменных окружения OPENSSL_CONF/SSLEAY_CONF сохранена;
• Дополнено API и документация по libtls;
• Устранены уязвимости, на днях представленные в корректирующих обновлениях к OpenSSL: CVE-2015-1788 (зацикливание при разборе ECParameters), CVE-2015-1789 (чтение вне границ буфер в X509_cmp_time) и CVE-2015-1792 (зацикливании при проверке CMS). Проблемы CVE-2015-4000, CVE-2015-1790 и CVE-2014-8176 не затронули LibreSSL. Применимость уязвимости CVE-2015-1791 (состояние гонки при обработке NewSessionTicket) пока рассматривается разработчиками.

Отмечается, что LibreSSL 2.2.0 является последним выпуском, в котором присутствует поддержка SSLv3, в дальнейшем связанный с SSLv3 код будет полностью удалён из кодовой базы.




source1
source2