Выпуск LibreSSL 2.5.4 с устранением уязвимости
Разработчики проекта OpenBSD опубликовали выпуск переносимой редакции пакета LibreSSL 2.5.4, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы.
В новой версии:
- Отменено изменение, привязавшее код возврата и код ошибки при выполнении callback-обработчиков верификации сертификатов, что нарушало документированный API и приводило к пропуску проверки сертификатов в nginx и некоторых других программах (CVE-2017–8301);
- Реализация вызова getrandom () в Linux переведена на работу в неблокирующем режиме с задействованием запасного обработчика в случае сбоя, что позволяет обойти проблемы с обращением к Linux-вызову getrandom (2) на ранних стадиях загрузки, когда пул энтропии ещё не инициализирован;
- Устранена ошибка, которая могла приводить к ложному результату верификации DTLS Cookie (при некоторых условиях ssl3_get_client_hello () возвращал успешный код возврата вместо кода ошибки);
- Решены проблемы со сборкой на системах под управлением ОС Solaris.
© OpenNet