OpenSSL 1.0.1k, 1.0.0p a 0.9.8zd

Vývojový tým OpenSSL informuje, že 8. ledna budou vydány verze 1.0.1k, 1.0.0p a 0.9.8zd kryptografické knihovny OpenSSL. Opraveno bude několik bezpečnostních problémů. Detaily a patche nebudou do vydání nových verzí knihovny zveřejňovány.

Komentáře

6.1.2015 16:00 chrono
Rozbalit Rozbalit vše Re: OpenSSL 1.0.1k, 1.0.0p a 0.9.8zd

A keďže si ten problém doteraz nikto nevšimol, tak:

a) všetci používajú OpenSSL (pretože ten nesprávne uložený kľúč načíta bez problémov) b) všetci tie kľúče používajú len v OpenSSL c) všetky používané implementácie akceptujú aj kľúče, ktoré nezodpovedajú úplne presne špecifikácii (prípadne sa správajú rovnako neštandardne)

6.1.2015 20:59 Jiří Svoboda | skóre: 37 | blog: cat /dev/mind | Prostějov
Rozbalit Rozbalit vše Re: OpenSSL 1.0.1k, 1.0.0p a 0.9.8zd

Ahá, no tak to bude ten důvod, proč musím při převodu certifikátů pro NetScaler používat openssl přímo na něm. Výstupy z něj a z debianího openssl se liší podobně, jak je to vidět v tom příspěvku. A debianí výstup odmítne naimportovat.

Svet je podivne misto. V ramci projektu LibreSSL se krome odstraneni tuny legacy kodu opravily stovky bud chybne nebo vubec neosetrenych podminek a tim i potencialnich zranitelnosti. Pokud vim az na vyjimky se opravy do OpenSSL nedostaly, tak je jen otazkou casu kdy bude dira natolik popularni, ze se dostane az do CVE.
LibreSSL je uz par mesicu kompatibilni s Linuxem, ale distra se tvrdosijne drzi bazmeku OpenSSL. Treba Void Linux pouziva LibreSSL jako vychozi, do Slackware si ho bohuzel musim kompilovat rucne + vetsinou i prekompilovat vsechny zavisle aplikace. V Debianu AFAIK bohuzel taky neni, ale to uz me ani neprekvapuje. Byly doby, kdyby ji mel v SIDu jako jeden z prvnich.