Tags Posts tagged with "openssl"

openssl

przez -
7 1028
Google

Google ogłosiło powstanie projektu BoringSSL, czyli własnej implementacji biblioteki OpenSSL. Głównym powodem zrobienia własnego forka jest chęć dodawania własnych łatek, które nie zawsze są zgodne z API i ABI OpenSSL. Część z nich była akceptowana, a część nie. BoringSSL ma być wykorzystywany w Androidzie, Chrome OS i Chrome. Google nadal będzie intensywnie wspierało OpenSSL, pobierało wszelkie zmiany z głównej gałęzi oraz przesyłało swoje zmiany i naprawione błędy.

przez -
6 955
OpenBSD

Theo de Raadt, twórca projektu OpenBSD ogłosił utworzenie LibreSSL, odnogi OpenSSL, która jest szeroko wykorzystywaną wolną implementacją protokołów SSL i TLS. Decyzja o stworzeniu forka została podjęta po wykryciu tzw. ataku Heartbleed, a także dokładnym przejrzeniu całego kodu. Okazuje się, że LibreSSL usunął ponad połowę obecnego kodu OpenSSL, głównie bardzo przestarzałych fragmentów, w tym 90,000 linii, napisanych w języku C.

Celem programistów LibreSSL jest maksymalne udoskonalenie i zwiększenie bezpieczeństwa całego obecnego kodu. Projekt aktualnie działa jedynie pod OpenBSD, ale ma być dostępny na wielu systemach operacyjnych. Wsparcie finansowe jest udzielanie przez OpenBSD Foundation i OpenBSD Project.

Warto także wspomnieć o dużej krytyce: Of Money, Responsibility, and Pride ze strony Steve-a Marquessa, jednego z programistów biblioteki OpenSSL. W swoim poście zwraca się żalem do wielu firm, które wykorzystują biblioteki kryptograficzne w swoich komercyjnych projektach, czerpiąc z tego zyski, ale nie dając nic w zamian i jeszcze nie potrafią w szybkim tempie naprawić błędów.

przez -
8 795
Centrum Informatyczne Świerk - okablowanie sieciowe

Projekt OpenSSL ogłosił wydanie OpenSSL 1.0.1g, które łata wiele znalezionych błędów. Jednym z najpoważniejszych jest tzw. Atak Heartbleed, który został oznaczony i opisany, jako CVE-2014-0160.

Błąd został opisany następująco:

brak tzw. bound checka w obsłudze heartbeatu TLS może powodować ujawnienie 64k pamięci serwera. Na błąd podatne są wersje od 1.0.1 do 1.0.1f oraz 1.0.2-beta wraz z 1.0.2-beta1. —Błąd odkrył Neel Mehta z Google Security.

W internecie dostępny jest już test weryfikujący, czy dany serwer posiada podatność na atak. Znajduje się on pod adresem: filippo.io/Heartbleed/.

przez -
2 477
OpenSSL

Wydano OpenSSL 0.9.8u i OpenSSL 1.0.0h. W obu wersjach naprawiono krytyczne błędy związane z CMS OpenSSL i kodem PKCS #7. Atakujący mógł wykorzystać luki do przeprowadzenia ataku S/MIME Bleichenbacher, znanego też, jako atak miliona wiadomości (Million Message Attack – MMA). Narażeni na ataki są użytkownicy CMS, PKCS #7, lub operacji deszyfrowania S/MIME.

W praktyce tylko zautomatyzowane systemy zostaną narażone, z racji tego iż do przeprowadzanie udanego ataku potrzebnych jest około 2^20 wiadomości. Aplikacje SSL/TLS nie są objęte tym problemem, od kiedy ich kod nie używa PKCS#7 lub kodu deszyfrowania CMS.

Polecane

Jesień Linuksowa

1 1107
Polska Grupa Użytkowników Linuksa ma zaszczyt zaprosić na konferencję Jesień Linuksowa 2017, która odbędzie się w dniach 22 – 24 września 2017 roku. Jako...