Tags Posts tagged with "openssl"

openssl

przez -
7 1054
Google

Google ogłosiło powstanie projektu BoringSSL, czyli własnej implementacji biblioteki OpenSSL. Głównym powodem zrobienia własnego forka jest chęć dodawania własnych łatek, które nie zawsze są zgodne z API i ABI OpenSSL. Część z nich była akceptowana, a część nie. BoringSSL ma być wykorzystywany w Androidzie, Chrome OS i Chrome. Google nadal będzie intensywnie wspierało OpenSSL, pobierało wszelkie zmiany z głównej gałęzi oraz przesyłało swoje zmiany i naprawione błędy.

przez -
6 1000
OpenBSD

Theo de Raadt, twórca projektu OpenBSD ogłosił utworzenie LibreSSL, odnogi OpenSSL, która jest szeroko wykorzystywaną wolną implementacją protokołów SSL i TLS. Decyzja o stworzeniu forka została podjęta po wykryciu tzw. ataku Heartbleed, a także dokładnym przejrzeniu całego kodu. Okazuje się, że LibreSSL usunął ponad połowę obecnego kodu OpenSSL, głównie bardzo przestarzałych fragmentów, w tym 90,000 linii, napisanych w języku C.

Celem programistów LibreSSL jest maksymalne udoskonalenie i zwiększenie bezpieczeństwa całego obecnego kodu. Projekt aktualnie działa jedynie pod OpenBSD, ale ma być dostępny na wielu systemach operacyjnych. Wsparcie finansowe jest udzielanie przez OpenBSD Foundation i OpenBSD Project.

Warto także wspomnieć o dużej krytyce: Of Money, Responsibility, and Pride ze strony Steve-a Marquessa, jednego z programistów biblioteki OpenSSL. W swoim poście zwraca się żalem do wielu firm, które wykorzystują biblioteki kryptograficzne w swoich komercyjnych projektach, czerpiąc z tego zyski, ale nie dając nic w zamian i jeszcze nie potrafią w szybkim tempie naprawić błędów.

przez -
8 823
Centrum Informatyczne Świerk - okablowanie sieciowe

Projekt OpenSSL ogłosił wydanie OpenSSL 1.0.1g, które łata wiele znalezionych błędów. Jednym z najpoważniejszych jest tzw. Atak Heartbleed, który został oznaczony i opisany, jako CVE-2014-0160.

Błąd został opisany następująco:

brak tzw. bound checka w obsłudze heartbeatu TLS może powodować ujawnienie 64k pamięci serwera. Na błąd podatne są wersje od 1.0.1 do 1.0.1f oraz 1.0.2-beta wraz z 1.0.2-beta1. —Błąd odkrył Neel Mehta z Google Security.

W internecie dostępny jest już test weryfikujący, czy dany serwer posiada podatność na atak. Znajduje się on pod adresem: filippo.io/Heartbleed/.

przez -
2 524
OpenSSL

Wydano OpenSSL 0.9.8u i OpenSSL 1.0.0h. W obu wersjach naprawiono krytyczne błędy związane z CMS OpenSSL i kodem PKCS #7. Atakujący mógł wykorzystać luki do przeprowadzenia ataku S/MIME Bleichenbacher, znanego też, jako atak miliona wiadomości (Million Message Attack – MMA). Narażeni na ataki są użytkownicy CMS, PKCS #7, lub operacji deszyfrowania S/MIME.

W praktyce tylko zautomatyzowane systemy zostaną narażone, z racji tego iż do przeprowadzanie udanego ataku potrzebnych jest około 2^20 wiadomości. Aplikacje SSL/TLS nie są objęte tym problemem, od kiedy ich kod nie używa PKCS#7 lub kodu deszyfrowania CMS.

Polecane

CrossOver

0 24
CrossOver 17 został wydany i jest w stanie uruchomić Microsoft Office 2016 na Linuksie oraz MacOs. CrossOver 17 to najnowsza wersja komercyjnego narzędzia sterowania...