The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Выпуск LibreSSL 2.1.4 форка OpenSSL от проекта OpenBSD "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск LibreSSL 2.1.4 форка OpenSSL от проекта OpenBSD "  +/
Сообщение от opennews (ok) on 06-Мрт-15, 11:01 
Разработчики проекта OpenBSD представили (http://marc.info/?l=openbsd-announce&m=142543818707898&w=2 ) новый значительный выпуск переносимой редакции пакета LibreSSL 2.1.4 (http://www.libressl.org/), в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Из особенностей LibreSSL можно отметить ориентацию на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы.


Среди новшеств, представленных в выпуске LibreSSL 2.1.4:

-  Расширены возможности библиотеки libtls с реализацией развиваемого проектом LibreSSL нового упрощённого программного интерфейса (https://www.opennet.ru/opennews/art.shtml?num=40710) для обеспечения шифрованного канала связи между клиентом и сервером. Добавлен новый API для загрузки цепочек сертификатов удостоверяющих центров (CA)  непосредственно из памяти, а не из файла, что позволяет обеспечить выполнение верификации в системах с разделением привилегий и в изолированных chroot-окружениях без прямого доступа к файлам со сертификатами CA. По умолчанию задействованы шифры TLSv1.2 с блочным шифрами AEAD (https://ru.wikipedia.org/wiki/AEAD-%D1%80%D0&...) и механизмом согласования ключей PFS (https://ru.wikipedia.org/wiki/Perfect_forward_secrecy). Улучшен код обработки ошибок и генерации сообщений;

-  Добавлен API X509_STORE_load_mem для загрузки сертификатов из памяти. API позволяет организовать работу с сертификатами из chroot-окружений;

-  Добавлен новый псевдоним AEAD ("MAC alias"), позволяющий настраивать TLSv1.2 шифры AEAD указывая 'TLSv1.2+AEAD' в качестве строки выбора шифра;
-  В утилиту openssl добавлена новая команда 'certhash', которая заменила собой  скрипт c_rehash;
-  Для обеспечения совместимости с различными системами аудита и сканерами безопасности реализована поддержка  TLS_FALLBACK_SCSV на стороне сервера;
-  Продолжена чистка неактуального и неиспользуемого кода, в том числе удалён код MD5, SCTP, RFC 3779, обходные механизмы поддержки Netscape, не связанные с POSIX методы ввода/выводы, секции "#if 0";
-  Для улучшения читаемости и упрощения сопровождения доработан макрос  ASN1;
-  Удалены различные исключения, связанные с проверкой указателей NULL. Вместо них для отлова обращения к NULL-указателям используются средства ОС и обработчики сигналов;
-  Переработан код обработки аргументов в утилите openssl;
-  Добавлена поддержка сборки с опцией  OPENSSL_NO_DEPRECATED;
-  Устранена порция проблем, выявленных в процессе автоматизированной проверки в системе Coverity;
-  Устранена серия проблем с безопасностью. Исправлена незначительная утечка информации по сети из-за передачи дополнительных 28 байт из блока .rodata или .data. Устранены уязвимости, исправленные (https://www.opennet.ru/opennews/art.shtml?num=41418) в OpenSSL 1.0.1k: CVE-2015-0205 (приём клиентского сертификата DH без проверки), CVE-2014-3570 (вывод неверных значений при использовании больших чисел), CVE-2014-8275 (изменение отпечатка сертификата), CVE-2014-3572 (откат ECDHE до ECDH [Client]).

Уязвимости  CVE-2015-0206 и CVE-2014-3510 были устранены в прошлых выпусках LibreSSL. Уязвимости CVE-2014-3571 (сбой сегментации в dtls1_get_record), CVE-2014-3569 (установка метода в NULL при конфигурации no-ssl3) и CVE-2015-0204 (на днях анонсированная (https://www.opennet.ru/opennews/art.shtml?num=41782) атака FREAK, позволяющая откатить RSA до EXPORT_RSA) не проявляются в LibreSSL.

-  Началось формирование (https://github.com/libressl-portable/portable/releases) бинарных сборок LibreSSL для платформы Windows.

URL: http://marc.info/?l=openbsd-announce&m=142543818707898&w=2
Новость: https://www.opennet.ru/opennews/art.shtml?num=41798

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Выпуск LibreSSL 2.1.4 форка OpenSSL от проекта OpenBSD "  +/
Сообщение от бедный буратино (ok) on 06-Мрт-15, 11:01 
>  Устранена порция проблем, выявленных в процессе автоматизированной проверки в системе Coverity;

А весь OpenBSD чем-нибудь подобным регулярно проверяют? Никак не могу собрать удобного способа читать отчёты, поэтому особо за ними не слежу :(

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Выпуск LibreSSL 2.1.4 форка OpenSSL от проекта OpenBSD "  +1 +/
Сообщение от Сергей Бронников (ok) on 06-Мрт-15, 11:10 
Регулярно, насколько я знаю, нет, но до этого было много фиксов проблем в разных компонентах OpenBSD, найденных с помощью Coverity.
Плюс разработчики стали активнее использовать afl: см http://undeadly.org/cgi?action=article&sid=20150305100712 и http://undeadly.org/cgi?action=article&sid=20150121093259
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Выпуск LibreSSL 2.1.4 форка OpenSSL от проекта OpenBSD "  –3 +/
Сообщение от xPhoenix (ok) on 06-Мрт-15, 11:55 
Не спорю, OpenBSD - важный проект, но как там с пакетами? Какова доля этой ОС на серверах?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Выпуск LibreSSL 2.1.4 форка OpenSSL от проекта OpenBSD "  –1 +/
Сообщение от каппа on 06-Мрт-15, 12:34 
Да нормально вроде все с пакетами. А что конкретное интересует?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Выпуск LibreSSL 2.1.4 форка OpenSSL от проекта OpenBSD "  +2 +/
Сообщение от бедный буратино (ok) on 06-Мрт-15, 12:41 
> но как там с пакетами?

С пакетами там - всё отлично. А вот без пакетов - плохо.

> Какова доля этой ОС на серверах?

Тяжела, ох тяжела доля на серверах. А вообще, лично я использую в основном на десктопе: собственно, это основная моя десктопная ОС.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Выпуск LibreSSL 2.1.4 форка OpenSSL от проекта OpenBSD "  +1 +/
Сообщение от . on 06-Мрт-15, 13:07 
какое отношение openbsd имеет к новости о libressl?
Вы вообще понимаете что это, для чего и для кого, или лишь бы квакнуть?

P.S. для пользователей либры, как я понимаю, единственная принципиальная новость-причина апгрейда - qualsys перестанет ныть, что Downgrade attack prevention     No, TLS_FALLBACK_SCSV not supported - хотя это чистая косметика, ибо проваливаться обычно некуда (если только специально не повключать sslv3, который включать нельзя в любом случае)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Выпуск LibreSSL 2.1.4 форка OpenSSL от проекта OpenBSD "  –1 +/
Сообщение от бедный буратино (ok) on 06-Мрт-15, 14:59 
>  какое отношение openbsd имеет к новости о libressl?

прямое :)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Выпуск LibreSSL 2.1.4 форка OpenSSL от проекта OpenBSD "  +/
Сообщение от Andrey Mitrofanov on 06-Мрт-15, 16:01 
>>  какое отношение openbsd имеет к новости о libressl?
> прямое :)

Не отвлекаясь на ерунду типа того, что пред.оратор не прочёл ни заголовка новости, ни заголоака _своего поста, хочу спросить:

--Они там традиционно основную ветку будут делать не-портабельной, а портабельную ...ммм... необязательной? Вы же в курсе?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Выпуск LibreSSL 2.1.4 форка OpenSSL от проекта OpenBSD "  –1 +/
Сообщение от бедный буратино (ok) on 06-Мрт-15, 16:09 
> --Они там традиционно основную ветку будут делать не-портабельной, а портабельную ...ммм... необязательной?

традиционно - это как openssh? а чем плох openssh? :)

> Вы же в курсе?

конечно. я же новости на опеннете читаю, и даже иногда - комментаторов :)

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Выпуск LibreSSL 2.1.4 форка OpenSSL от проекта OpenBSD "  +/
Сообщение от Andrey Mitrofanov on 06-Мрт-15, 16:27 
>>портабельную ...ммм... необязательной?
> традиционно - это как openssh? а чем плох openssh? :)

Как openntpd. "Есть две версии - одна для нас и вторая - ненужная." Уникальный апстрим. И да, с openssh у них "не вышло".

>> Вы же в курсе?
> конечно. я же новости на опеннете читаю, и даже

Ой. Надо ж было новость почитать?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Выпуск LibreSSL 2.1.4 форка OpenSSL от проекта OpenBSD "  –2 +/
Сообщение от бедный буратино (ok) on 06-Мрт-15, 16:35 
> Как openntpd. "Есть две версии - одна для нас и вторая - ненужная."

ну, ntpd это часть основы системы - в том числе, оно должно на 1.44 дискету с установщиком помещаться, тут не пожируешь :) libressl - формально более независимый проект, не думаю, что будет отличаться от openssh... тем более, есть даже версия для windows, от чего я вообще подавился... а вообще - мне всё равно :)

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "Выпуск LibreSSL 2.1.4 форка OpenSSL от проекта OpenBSD "  +/
Сообщение от Stax (ok) on 08-Мрт-15, 15:11 
Почему 1.44 дискету? Почему не 2.88 дискету или 8Гб флешку, например?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

15. "Выпуск LibreSSL 2.1.4 форка OpenSSL от проекта OpenBSD "  –1 +/
Сообщение от Аноним (??) on 06-Мрт-15, 17:32 
Библиотека портабельная, но требуется править софт, завязаный на OpenSSL.
Покури https://wiki.freebsd.org/LibreSSL
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

16. "Выпуск LibreSSL 2.1.4 форка OpenSSL от проекта OpenBSD "  –1 +/
Сообщение от .. on 07-Мрт-15, 14:02 
> --Они там традиционно основную ветку будут делать не-портабельной, а портабельную

разумеется. Потому что при сборке мира конкретной операционки не имеет никакого смысла гонять configure, который без специальных, крайне неочевидных и неудобных телодвижений (ибо это по сути cross-build) вообще будет работать неправильно.
А либра неминуемо будет частью world, современную систему невозможно сделать хоть сколько-то пригодной к употреблению без крипто и ssl-библиотек.

То есть в любом случае надо будет модифицировать библиотеку - либо переносимую, чтобы ее можно было собирать вместе с world, либо системную, чтобы ее можно было собрать отдельно от дерева openbsd. Угадайте что выберут разработчики, если это разработчики openbsd.

Без всякой политической подоплеки - просто потому что им действительно _так_ удобнее.

Если вы считаете что это портит вам жизнь - спонсируйте или участвуйте в другом форке, их есть. Но на мой взгляд именно этот наиболее жизнеспособен.
В отличие от openssh, который был исключительно политиканской затеей вида "они там плохие п..сы, а мы вот хорошие [п..сы] и сделаем то же самое только ху... простите, бесплатно" - сделать хуже чем было не удастся в любом случае - хуже чем оно есть, уже просто не вообразить.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

20. "Выпуск LibreSSL 2.1.4 форка OpenSSL от проекта OpenBSD "  +/
Сообщение от Аноним (??) on 10-Мрт-15, 00:08 

> В отличие от openssh, который был исключительно политиканской затеей вида "они там
> плохие п..сы, а мы вот хорошие [п..сы] и сделаем то же
> самое только ху... простите, бесплатно" - сделать хуже чем было не
> удастся в любом случае - хуже чем оно есть, уже просто
> не вообразить.

Не буду комментировать насчёт «хуже», но вообще-то OpenSSH появился во многом из-за отнюдь не свободной лицензии (хотя бы и с открытым исходным кодом) на изначальную реализацию SSH. И именно OpenSSH продвигает во многом развитие данного протокола и плавный уход от legacy (вроде запрета SSHv1 по умолчанию).

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

21. "офтопик про ssh"  +/
Сообщение от ... on 10-Мрт-15, 13:28 
>> В отличие от openssh, который был исключительно политиканской затеей вида "они там
>> плохие п..сы, а мы вот хорошие [п..сы] и сделаем то же
>> самое только ху... простите, бесплатно"
> Не буду комментировать насчёт «хуже», но вообще-то OpenSSH появился во многом
> из-за отнюдь не свободной лицензии (хотя бы и с открытым исходным

я и говорю - лишь бы денег не платить. При том что и денег-то хотели только за совсем уж откровенное бизнес-использование, и код оставили открытым, и стандарт не запатентовали.
При этом в реализации Йлонена (которая v1 и сделана одним человеком) была за все годы _единственная_ обнаруженная серьезная проблема, причем в таком месте, которое раньше просто никому не приходило в голову считать опасным (syslog format, ага).
"Бесплатная" поделка через пару лет порадовала remote root на пустом месте в попытках "улучшить" кодирование - чем не отличился на моей памяти даже коммерческий ssh2.

> кодом) на изначальную реализацию SSH. И именно OpenSSH продвигает во многом
> развитие данного протокола и плавный уход от legacy (вроде запрета SSHv1
> по умолчанию).

А зачем его запрещать "по умолчанию"? Проблемы со слабой криптографией? Их и в v2 тоже полно, в нем даже скомпроментированные ecdsa host keys по сей день отключаются только через жопу. При этом никто не мешает просто не использовать - пока не окажешься в жопе мира с ssh-v1 only клиентом, и не решишь что лучше такой доступ, чем никакого. (если решишь наоборот - ну и продолжай себе не использовать)
В большинстве применений этой "слабой" вполне достаточно. Отключать имеет смысл только по одной причине - код давно никто не смотрит, и в нем вполне может всплыть какая-нибудь не связанная с крипто дыра, этак пятилетней выдержки.
P.S. если что - ssh2 вообще был с v1 несовместим, тупо вызывал бинарник ssh1, при его наличии. Но это не плюс ssh2 и не достижение "cвободной" ветки (они просто форкнули именно v1, который только и было можно. Что, опять таки, подало очень плохой пример.)
А развивать протокол больше и некому - бизнес ssh.com успешно угробили, на продаже описаний ietf'ом много не заработаешь, молодцы, че.

Возвращаясь к libressl - тут перспективы все же лучше, именно потому что сама по себе openssl внутри отвратительна до изумления. Но вот надежды что libress'евым собственным, не openssl-совместимым интерфейсом будут массово пользоваться - весьма слабы. А большинство проблем openssl'я связаны именно с меганавороченностью интерфейсов (за которыми стоят уродливые навороты самого ssl/tls) и попытками разработчиков угнаться за авторами чудо-стандартов. Такой код просто не мог быть компактным и удобоверифицируемым.
собственно, то изменение которое является значимым в анонсе - это именно еще один наворот на навороте, никому в реальности нафиг не нужный, но затыкающий алармы кривых оповещалок. К счастью, довольно копеечный в реализации.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "офтопик про ssh"  +/
Сообщение от Аноним (??) on 10-Мрт-15, 21:40 
>>> В отличие от openssh, который был исключительно политиканской затеей вида "они там
>>> плохие п..сы, а мы вот хорошие [п..сы] и сделаем то же
>>> самое только ху... простите, бесплатно"
>> Не буду комментировать насчёт «хуже», но вообще-то OpenSSH появился во многом
>> из-за отнюдь не свободной лицензии (хотя бы и с открытым исходным
> я и говорю - лишь бы денег не платить. При том что
> и денег-то хотели только за совсем уж откровенное бизнес-использование, и код
> оставили открытым, и стандарт не запатентовали.

И всё же, даже такая, сравнительно либеральная, политика автора сильно мешало массовому распространению SSH. А потребность в подобном средстве была и возрастала с каждым годом. Так что надо было или изобретать SSH заново, или форкать старую, но ещё свободную версию.

> При этом в реализации Йлонена (которая v1 и сделана одним человеком) была
> за все годы _единственная_ обнаруженная серьезная проблема, причем в таком месте,
> которое раньше просто никому не приходило в голову считать опасным (syslog
> format, ага).
>
> "Бесплатная" поделка через пару лет порадовала remote root на пустом месте в
> попытках "улучшить" кодирование - чем не отличился на моей памяти даже
> коммерческий ssh2.

Всего одна серьёзная проблема?

http://www.cvedetails.com/vulnerability-list/vendor_id-120/p...

В списке и оригинальная SSH, и OpenSSH. Посмотрите внимательно.

>> кодом) на изначальную реализацию SSH. И именно OpenSSH продвигает во многом
>> развитие данного протокола и плавный уход от legacy (вроде запрета SSHv1
>> по умолчанию).
> А зачем его запрещать "по умолчанию"? Проблемы со слабой криптографией?

Downgrade-атак

> Их и в v2 тоже полно,

Но там есть и рабочие варианты. SSHv1 сделал своё дело, SSHv1 должен уходить. Существование v2-only реализаций SSH (dropbear тот же) тоже не случайность. ;)

> в нем даже скомпроментированные ecdsa host keys
> по сей день отключаются только через жопу.
>
> При этом никто не
> мешает просто не использовать - пока не окажешься в жопе мира
> с ssh-v1 only клиентом, и не решишь что лучше такой доступ,
> чем никакого. (если решишь наоборот - ну и продолжай себе не
> использовать)

Код не убран, а просто отключен. Мягкое такое подталкивание к прогрессу. Кому действительно надо SSHv1 - пожалуйста, можно выставить "Protocol" (в идеале - под "Host foo", чтобы только для нужного хоста).

> В большинстве применений этой "слабой" вполне достаточно. Отключать имеет смысл только
> по одной причине - код давно никто не смотрит, и в
> нем вполне может всплыть какая-нибудь не связанная с крипто дыра, этак
> пятилетней выдержки.

См. выше.

> А развивать протокол больше и некому - бизнес ssh.com успешно угробили

Злые опенсорщики помешали придумать рабочую бизнес-модель, ага.
Почему, например, та же MySQL AB, имеющая куда больше конкурентов на своём рынке, оказалась успешной?

> на продаже описаний ietf'ом много не заработаешь, молодцы, че.

Не всё на свете делается для денег. ;) Умный человек монетизирует то, что, казалось бы, приносить прибыль не может. Глупый - профукает 100% прибыль. Старо как мир.

> Возвращаясь к libressl - тут перспективы все же лучше, именно потому что
> сама по себе openssl внутри отвратительна до изумления. Но вот надежды
> что libress'евым собственным, не openssl-совместимым интерфейсом будут массово пользоваться
> - весьма слабы. А большинство проблем openssl'я связаны именно с меганавороченностью
> интерфейсов (за которыми стоят уродливые навороты самого ssl/tls) и попытками разработчиков
> угнаться за авторами чудо-стандартов. Такой код просто не мог быть компактным
> и удобоверифицируемым.
> собственно, то изменение которое является значимым в анонсе - это именно еще
> один наворот на навороте, никому в реальности нафиг не нужный, но
> затыкающий алармы кривых оповещалок. К счастью, довольно копеечный в реализации.

libtls сейчас обкатывается на "родных" опёнковских проектах вроде relayd и httpd. Насколько она будет успешной - посмотрим. ASSL толком не взлетела в своё время, может, libtls повезёт больше.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

19. "Выпуск LibreSSL 2.1.4 форка OpenSSL от проекта OpenBSD "  +/
Сообщение от Аноним (??) on 10-Мрт-15, 00:00 
Вы бы хоть вживую посмотрели, как это работает. И в чём чуть ваших претензий, что код более читаем, чем в варианте «добавим тонну #if для разных ОС»?
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру