Hlavní navigace

OpenSSL

OpenSSL zjednodušuje číslování verzí, mátlo prý uživatele

Vývojáři OpenSSL oznámili, že změní značení verzí své knihovny, které je příliš unikátní a mate uživatele. Současný formát používá čtyři pole: MAJOR.MINOR.FIX[PATCH] (například 1.1.0j), nová varianta si vystačí s klasickým MAJOR.MINOR.PATCH a…

Hesla SSH klíčů jsou špatně hashovaná, lze je prolomit velmi rychle

Uživatelský SSH klíč představuje důležitý autentizační prvek každého administrátora či vývojáře. I když je chráněn heslem, ve většině případů je možné heslo velmi rychle uhodnout. Jak ho více zabezpečit?

Doba čtení: 5 minut

Pozor na nový OpenSSL v Arch Linuxu, nefungují hry

Včerejší aktualizace OpenSSL na verzi 1.0.2k-3 v Arch Linuxu „rozbíjí“ spoustu her od Feral Interactive a také Civilization VI. Problém je vhodné vyřešit instalací balíčku libopenssl-1.0-compat a použitím  LD_LIBRARY_PATH=/usr/lib/openssl-1.0-compat/ %command%. (zdroj: gamingonlinux)

25. 4. 2017 14:35

OpenSSL začíná s přechodem na licenci Apache 2.0

Už několik let se hovoří o tom, že by knihovna OpenSSL měla přejít na jinou licenci. V současnosti totiž používá licenci vlastní, která je někdy trochu nejasná a může bránit integraci knihovny do dalších projektů. Zvolena byla permisivní Apache…

Heartbleed po třech letech ohrožuje stále zhruba 200 000 zařízení

Jsou to téměř tři roky, co byla objevena a popsána vážná bezpečnostní chyba v OpenSSL, známá pod jménem Heartbleed. Po třech letech je stále na internetu přibližně 200 000 zařízení umožňující chybu zneužít.

Doba čtení: 2 minuty

Zveřejněny slíbené zranitelnosti OpenSSL

Jak bylo slíbeno, dnes byly zveřejněny tři zranitelnosti OpenSSL a jejich opravy. Kritická zranitelnost CVE-2016–7054 se týká TLS se šifrou CHACHA20-POLY1305, kdy speciálně upravený vstup může shodit OpenSSL. Chybu je možné použít pouze k DoS,…

10. 11. 2016 16:42

OpenSSL vydá zítra záplaty několika vážných chyb

Vývojáři OpenSSL oznámili, že zítra mezi 13. a 17. hodinou středoevropského času vydají novou verzi 1.1.0c, která bude opravovat několik závažných bezpečnostních chyb. Nejvážnější z nich byla označena jako „vysoce kritická“ a netýká se žádné verze…

OpenSSL 1.1.0b opravuje závažnou bezpečnostní chybu

Knihovna OpenSSL byla povýšena na verzi 1.1.0 b. Důvodem je oprava závažné bezpečnostní chyby CVE-2016–6309, která naštěstí byla zanesena teprve před několika dny s verzí 1.1.0 a. Chybu nalezl hned den po vydání Robert Święcki z Googlu, o záplatu…

LibreSSL zranitelností DROWN netrpí

V knihovně OpenSSL, resp. přímo v SSLv2, byla nalezena další nepříjemná zranitelnost přezdívaná DROWN, která umožňuje provedení man-in-the-middle útoku na šifrovanou komunikaci. Konkurenční projekt LibreSSL, který z OpenSSL vychází, se v té…

Nová zranitelnost SSLv2 DROWN

Dnes byla odhalena nová zranitelnost SSLv2 DROWN (Decrypting RSA using Obsolete and Weakened eNcryption). Jde o útok typu man-in-the-middle na TLS šifrovanou komunikaci a dostal označení CVE-2016–0800. V typickém scénáři útočník odposlechne tisíc…

Vyšlo opravené OpenSSL 1.0.2f a 1.0.1r

Právě vyšlo opravené OpenSSL 1.0.2f a 1.0.1r, která opravují dvě chyby CVE-2016–0701 (vysoká závažnost) a CVE-2015–3197 (nízká závažnost). Chyba CVE-2016–0701 s vysokou závažností se týká jen verze 1.0.2, kde byl změněn způsob generování DH…

28. 1. 2016 16:45

Nizozemsko neplánuje omezit šifrování

Nizozemské ministerstvo spravedlnosti a bezpečnosti vydalo dokument, ve kterém vysvětluje svůj přístup k šifrování. „Vláda věří, že v současné době není vhodné legislativně omezovat rozvoj a dostupnost šifrování v zemi,“ zní nejdůležitější část…

OpenSSL mění licenci

Rich Salz zveřejnil informace o změně licence OpenSSL. Projekt chce opustit současnou „unikátní a svéráznou“ licenci a přejít na standardní text licence Apache 2.0. Stát by se tak mělo už v příštím vydání, ale bude to vyžadovat souhlas téměř všech…

3. 8. 2015 8:45

Projekt Census zjistí, který kritický software potřebuje podporu

V reakci na zranitelnost Heartbleed pod křídly Linux Foundation vznikla Core Infrastructure Initiative, jejímž cílem je finančně podporovat open-source projekty, které jsou zásadní pro bezpečnost celého internetu. Mnoho velkých firem přispělo a…

Dle plánu byly vydány OpenSSL 1.0.2d a 1.0.1p

Dle plánu vydal vývojový tým OpenSSL dvě nové verze kryptografické knihovny OpenSSL. Konkrétně se jedná o verze 1.0.2d a 1.0.1p. Řeší pouze jednu bezpečnostní chybu s označením CVE-2015–1793, která je klasifikována jako „vysoce kritická“. Větve…

9. 7. 2015 17:10

Implementace SSL / TLS v podání Amazonu

S novými implementacemi protokolu SSL / TLS se roztrhl pytel po objevení kritické zranitelnosti Heartbleed v knihovně OpenSSL, nejpoužívanější open source implementaci.  Asi nejznámější fork je od vývojářů unixového systému OpenBSD, LibreSSL. Zde…

9. 7. 2015 0:30

Připravují se dvě nové verze OpenSSL

Vývojový tým OpenSSL na mailing listu uveřejnil informaci, že plánuje uvedení nových verzí kryptografické knihovny OpenSSL. Konkrétně se má jednat o verze 1.0.2d a 1.0.1p. Řešit mají pouze jednu bezpečnostní chybu klasifikovanou jako „vysoce…

7. 7. 2015 15:05

Připravují se čtyři nové verze OpenSSL

Vývojový tým OpenSSL na mailing listu uveřejnil informaci, že plánuje uvedení nových verzí kryptografické knihovny OpenSSL. Konkrétně se má jednat o verze 1.0.2a, 1.0.1m, 1.0.0r a 0.9.8zf. Řešit mají hned několik bezpečnostních chyb, včetně jedné…

Audit OpenSSL provede britská firma NCC Group

Už je tomu téměř rok, co zranitelnost Heartbleed odstartovala snahy reformovat knihovnu OpenSSL. Různá opatření už byla provedena, např. byl zpřehledněn systém vývoje, ale na to nejdůležitější – nezávislý audit – se stále čeká. Nyní už alespoň bylo…

Nová zranitelnost SSL/TLS nese název FREAK

FREAK (Factoring Attack on RSA-EXPORT Keys), tak je pojmenována nová zranitelnost SSL/TLS, jenž je obsažena v OpenSSL starších verzí než 1.0.1k. Podobně jako v případě POODLE útoku, i zde jde o snížení bezpečnosti SSL/TLS komunikace na minimum…

Generátor náhodných čísel byl v FreeBSD měsíce rozbitý

Generátor náhodných čísel (RNG, Random Number Generator) obsažený v kernelu operačního systému FreeBSD obsahoval čtyři měsíce chybu, díky níž bylo možné predikovat výstupní hodnoty. Tu objevil John-Mark Gurney, který ji následně opravil. Gurney…

OpenSSL 1.0.2: reparát po Heartbleedu

Po téměř třech letech vyšla další velká verze knihovny OpenSSL. Jedná se o verzi 1.0.2, která už několik měsíců byla v betě a je prvním hmatatelným výsledkem snahy projekt zpřehlednit, aby se neopakovaly chyby typu Heartbleed. Changelog nové verze…

23. 1. 2015 11:58

Nové OpenSSL opravuje osm bezpečnostních chyb

Knihovna OpenSSL se po několika týdnech hlásí s novými verzemi 1.0.1k, 1.0.0p a 0.9.8zd. Ty stejně jako několik posledních vydání opravují nalezené bezpečností chyby. Další Heartbleed se naštěstí nekoná, jedná se o chyby střední a nižší závažnosti…

9. 1. 2015 19:47

Vydány tři nové verze knihovny OpenSSL

Kryptografická knihovna OpenSSL vyšla ve třech nových verzích: 0.9.8zb, 1.0.0n a 1.0.1i. Celkem bylo opraveno devět bezpečnostních chyb: CVE-2014–3505, CVE-2014–3506, CVE-2014–3507, CVE-2014–3508, CVE-2014–3509, CVE-2014–3510, CVE-2014–3511,…

Čtvrt roku po Heartbleedu: co se změnilo?

Je tomu už více než čtvrt roku, co světem informačních technlologií otřásla kritická chyba v knihovně OpenSSL zvaná Heartbleed. Připomněla nám, že otevřené zdrojové kódy nejsou vše. Především je třeba někdo, kdo je opravdu prověřuje. Co se za tu dobu událo? Bude internet zase o něco bezpečnější?

Doba čtení: 5 minut

LibreSSL od verze 2.0 běží i na Linuxu

Knihovna LibreSSL, reformní fork OpenSSL, vyšla ve verzi 2.0. To znamená, že již prošla první velkou očistou – odstraněno bylo na 40 % kódu. Vydání je důležité i v tom, že kromě OpenBSD konečně začíná oficiálně podporovat další operační systémy: OS…

OpenSSL chystá reformu. Chce se vyvarovat chyb

Na knihovnu OpenSSL se ve světle Heartbleed a dalších chyb snesla vlna kritiky. Dokonce už vznikl fork LibreSSL, který má za cíl dát knihovnu pořádně do pucu. I komunita kolem OpenSSL si je ovšem vědoma nedostatků a proto připravila rámcový plán,…

Google zakládá vlastní fork OpenSSL

Po LibreSSL tu máme další fork knihovny OpenSSL, ovšem trochu jiného rázu. Nový fork s pracovním názvem BoringSSL zakládá Google a bude jej používat ve svých projektech jako Chromium nebo Android. Založení forku má především praktický, nikoliv…

Oznámeno dalších sedm chyb v OpenSSL

Po nedávném odhalení známého útoku Heartbleed se knihovna OpenSSL dostala pod drobnohled mnohých bezpečnostních expertů. OpenSSL Foundation nyní oznámila dalších sedm bezpečnostních chyb s různou závažností. Pomocí několika z nich je možné způsobit…

6. 6. 2014 7:50

Knihovna OpenSSL projde auditem

Pod křídly Linux Foundation vznikla Core Infrastructure Initiative (CII), která má za cíl dohlížet zejména na bezpečnost nejrozšířenějších internetových open-source projektů. Iniciativa vznikla v reakci na kritickou chybu v OpenSSL, tzv. Heartbleed…