LibreSSL 2.0.1

2014-07-14 09:00

W trzy tygodnie po publikacji błędu Heartbleed programiści skupieni wokół projektu OpenBSD utworzyli fork pakietu OpenSSL – LibreSSL, a w ostatni piątek wydano LibreSSL Portable w pierwszej publicznej wersji 2.0.0, natomiast wczoraj: 2.0.1.

Projekt LibreSSL powstaje i jest rozwijany zgodnie z podstawową wizją przyświecającą twórcom OpenBSD, jaką jest bezpieczeństwo. Praca programistów skupiona jest głównie na uporządkowaniu istniejącego kodu źródłowego oraz wyeliminowaniu już zgłoszonych błędów projektu OpenSSL. Jednocześnie, usuwane jest wsparcie dla przestarzałych systemów operacyjnych, wątpliwe i przestarzałe mechanizmy kryptograficzne (Dual_EC_DRBG, RSA_FLAG_NO_EXP_CONSTTIME). Ciekawsze fragmenty znalezionych błędów oraz komentarze można śledzić na stronie opensslrampage.org, natomiast podsumowanie zmian dostępne jest w prezentacji BSDCAN 2014.

Na tym etapie projekt LibreSSL jest w dość wczesnej fazie rozwoju, o czym świadczy aktualne tempo wydawanych poprawek stabilizujących działanie biblioteki na wspieranych platformach. Ostatecznie, projekt ma zastąpić bibliotekę OpenSSL systemie OpenBSD 5.6, czyli następnym stabilnym wydaniu platformy.

W kwietniu tego roku ujawniono podatność Hearbleed, która polegała na błędnej obsłudze protokołu Heartbeat w OpenSSL. Podatność pozwalała na odczytanie do 64 KB pamięci usługi poprzez nieprawidłową obsługę danych pochodzących od użytkownika, który kontroluje dwie wartości zmiennych: payload oraz pl:

buffer = OPENSSL_malloc(1 + 2 + payload + padding);
(…)
memcpy(bp, pl, payload);

Wykorzystanie podatności poprzez odpowiednie spreparowanie wywołanie metody heartbeat powoduje przesłanie 64 KB pamięci procesu.

Więcej informacji:

Blog

MS SQL Server 2005 Extended Support kończy się 12 kwietnia

Rozszerzone wsparcie dla serwera Microsoft SQL Server 2005 kończy się 12 kwietnia. To ostatni moment aby dokonać migracji do wyższej wersji.

Jeśli tego nie zrobiłeś to AVET INS może wesprzeć ...

2016-03-01 09:00, Czytaj więcej Więcej
Kiedy Flash wyginie?

Flash to jedna z tych technologii, która ma bardzo złą – i w tym wypadku całkowicie zasłużenie – reputację w obszarze bezpieczeństwa. Ta reputacja jest tak zła, że od jakiegoś czasu część ...

2016-02-11 16:45, Czytaj więcej Więcej
Krytyczna podatność w kliencie OpenSSH (CVE-2016-0777, CVE-2016-0778)

Wersje oprogramowania klienckiego OpenSSH w wersjach od 5.4 do 7.1 podatne są na atak umożliwiający wyciek pamięci oraz kradzież kluczy prywatnych. W przypadku, gdy połączenie SSH zostanie przerwane ...

2016-02-01 09:30, Czytaj więcej Więcej
Microsoft ogranicza wsparcie IE tylko do wersji 11

Microsoft przestaje wspierać starsze wersje przeglądarki Internet Explorer. Jedyną wspieraną wersją od dzisiaj jest IE 11 i wyższe. Dla wielu systemów (np. Windows 7) może to oznaczać potrzebę aktualizacji lub ...

2016-01-13 09:00, Czytaj więcej Więcej
SafeNet Day: Szyfrowanie w chmurze - prezentacja

Prezentacja Aleksandra Czarnowskiego z konferencji SafeNet Day na temat Szyfrowanie w chmurze jest już dostępna do pobrania. Zapraszamy do pobrania poniżej:

http://www.avet.com.pl/media/pdf/2015-11-02_Szyfrowanie_w_chmurze.pdf

2015-10-31 10:00, Czytaj więcej Więcej