Разработчики проекта OpenBSD представили выпуск переносимой редакции пакета http://www.libressl.org/ LibreSSL 2.2.0, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Новая версия будет развиваться параллельно с OpenBSD 5.8 и войдёт в состав данного релиза. Одновременно доступен корректирующий выпуск LibreSSL 2.1.7, в котором отражены исправления, связанные с устранением уязвимости. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы.
Среди новшеств, представленных в выпуске LibreSSL 2.2.0:
Отмечается, что LibreSSL 2.2.0 является последним выпуском, в котором присутствует поддержка SSLv3, в дальнейшем связанный с SSLv3 код будет полностью удалён из кодовой базы.
source1
source2
Среди новшеств, представленных в выпуске LibreSSL 2.2.0:
- Поддержка платформ AIX и Cygwin;
- Переработка сборочных макросов. Поддержка формирования независимых пакетов с libtls, является первым шагом на пути к обеспечению сборки и работы OpenSSL с libtls;
- Удаление OPENSSL_issetugid и всех вызовов getenv из библиотеки, приложения отныне не могут изменять поведение библиотеки через переменные окружения. В утилите openssl поддержка переменных окружения OPENSSL_CONF/SSLEAY_CONF сохранена;
- Дополнено API и документация по libtls;
- Устранены уязвимости, на днях представленные в корректирующих обновлениях к OpenSSL: CVE-2015-1788 (зацикливание при разборе ECParameters), CVE-2015-1789 (чтение вне границ буфер в X509_cmp_time) и CVE-2015-1792 (зацикливании при проверке CMS). Проблемы CVE-2015-4000, CVE-2015-1790 и CVE-2014-8176 не затронули LibreSSL. Применимость уязвимости CVE-2015-1791 (состояние гонки при обработке NewSessionTicket) пока рассматривается разработчиками.
Отмечается, что LibreSSL 2.2.0 является последним выпуском, в котором присутствует поддержка SSLv3, в дальнейшем связанный с SSLv3 код будет полностью удалён из кодовой базы.
source1
source2
Комментариев нет:
Отправить комментарий