Релиз LibreSSL 2.2.0
Разработчики проекта OpenBSD представили выпуск переносимой редакции пакета http://www.libressl.org/ LibreSSL 2.2.0, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Новая версия будет развиваться параллельно с OpenBSD 5.8 и войдёт в состав данного релиза. Одновременно доступен корректирующий выпуск LibreSSL 2.1.7, в котором отпражены исправления, связанные с устранением уязвимости. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Среди новшеств, представленных в выпуске LibreSSL 2.2.0:
Поддержка платформ AIX и Cygwin; Переработка сборочных макросов. Поддержка формирования независимых пакетов с libtls, является первым шагом на пути к обеспечению сборки и работы OpenSSL с libtls; Удаление OPENSSL_issetugid и всех вызовов getenv из библиотеки, приложения отныне не могут изменять поведение библиотеки через переменные окружения. В утилите openssl поддержка переменных окружения OPENSSL_CONF/SSLEAY_CONF сохранена; Дополнено API и документация по libtls; Устранены уязвимости, на днях представленные в корректирующих обновлениях к OpenSSL: CVE-2015–1788 (зацикливание при разборе ECParameters), CVE-2015–1789 (чтение вне границ буфер в X509_cmp_time) и CVE-2015–1792 (зацикливании при проверке CMS). Проблемы CVE-2015–4000, CVE-2015–1790 и CVE-2014–8176 не затронули LibreSSL. Применимость уязвимости CVE-2015–1791 (состояние гонки при обработке NewSessionTicket) пока рассматривается разработчиками. Отмечается, что LibreSSL 2.2.0 является последним выпуском, в котором присутствует поддержка SSLv3, в дальнейшем связанный с SSLv3 код будет полностью удалён из кодовой базы.
© OpenNet
