Вышел socat 1.7.3.0
Обновился socat. В новой версии исправлена возможная DoS атака (CVE ID ещё ожидается), улучшена безопасность SSL клиента и другие исправления.
Важно отметить, что новая версия серверной части socat’а добавляет ECDHE протокол обмена ключами. (ECDHE — Elliptic curve Diffie–Hellman Ephemeral)
До этого можно было использовать только DHE протокол обмена недолговечными («эфемерными») ключами (KeyEx).
Эфемерный протокол обмена ключами обеспечивает совершенную прямую секретность PFS (Perfect Forward Secrecy). О PFS подробнее здесь https://ru.wikipedia.org/wiki/Perfect_forward_secrecy
В ходе релиза версии 1.7.3.0, автор допустил ошибку в файле «xio-openssl.c», поэтому чтобы включить серверную поддержку ECDHE, достаточно удалить две строчки или применить следущий патч:
--- socat-1.7.3.0/xio-openssl.c 2015–01–24 15:33:42.000000000 +0100 +++ socat-1.7.3.0-ecdhe/xio-openssl.c 2015–01–25 13:38:54.353641097 +0100 @@ -960,7 +960,6 @@ } }
-#if defined (EC_KEY) /* not on Openindiana 5.11 */ { /* see http://openssl.6102.n7.nabble.com/Problem-with-cipher-suite-ECDHE-ECDSA-AES256-SHA384-td42229.html */ int nid; @@ -982,7 +981,6 @@
SSL_CTX_set_tmp_ecdh (*ctx, ecdh); } -#endif /* ! defined (EC_KEY) */
#if OPENSSL_VERSION_NUMBER >= 0×00908000L if (opt_compress) {
pfs, socat, безопасность, криптография
