OpenSSL

Vývojáři OpenSSL oznámili, že změní značení verzí své knihovny, které je příliš unikátní a mate uživatele. Současný formát používá čtyři pole: MAJOR.MINOR.FIX[PATCH] (například 1.1.0j), nová varianta si vystačí s klasickým MAJOR.MINOR.PATCH a…

Včerejší aktualizace OpenSSL na verzi 1.0.2k-3 v Arch Linuxu „rozbíjí“ spoustu her od Feral Interactive a také Civilization VI. Problém je vhodné vyřešit instalací balíčku libopenssl-1.0-compat a použitím  LD_LIBRARY_PATH=/usr/lib/openssl-1.0-compat/ %command%. (zdroj: gamingonlinux)

Už několik let se hovoří o tom, že by knihovna OpenSSL měla přejít na jinou licenci. V současnosti totiž používá licenci vlastní, která je někdy trochu nejasná a může bránit integraci knihovny do dalších projektů. Zvolena byla permisivní Apache…

Jak bylo slíbeno, dnes byly zveřejněny tři zranitelnosti OpenSSL a jejich opravy. Kritická zranitelnost CVE-2016–7054 se týká TLS se šifrou CHACHA20-POLY1305, kdy speciálně upravený vstup může shodit OpenSSL. Chybu je možné použít pouze k DoS,…

Vývojáři OpenSSL oznámili, že zítra mezi 13. a 17. hodinou středoevropského času vydají novou verzi 1.1.0c, která bude opravovat několik závažných bezpečnostních chyb. Nejvážnější z nich byla označena jako „vysoce kritická“ a netýká se žádné verze…

Knihovna OpenSSL byla povýšena na verzi 1.1.0 b. Důvodem je oprava závažné bezpečnostní chyby CVE-2016–6309, která naštěstí byla zanesena teprve před několika dny s verzí 1.1.0 a. Chybu nalezl hned den po vydání Robert Święcki z Googlu, o záplatu…

V knihovně OpenSSL, resp. přímo v SSLv2, byla nalezena další nepříjemná zranitelnost přezdívaná DROWN, která umožňuje provedení man-in-the-middle útoku na šifrovanou komunikaci. Konkurenční projekt LibreSSL, který z OpenSSL vychází, se v té…

Dnes byla odhalena nová zranitelnost SSLv2 DROWN (Decrypting RSA using Obsolete and Weakened eNcryption). Jde o útok typu man-in-the-middle na TLS šifrovanou komunikaci a dostal označení CVE-2016–0800. V typickém scénáři útočník odposlechne tisíc…

Právě vyšlo opravené OpenSSL 1.0.2f a 1.0.1r, která opravují dvě chyby CVE-2016–0701 (vysoká závažnost) a CVE-2015–3197 (nízká závažnost). Chyba CVE-2016–0701 s vysokou závažností se týká jen verze 1.0.2, kde byl změněn způsob generování DH…

Nizozemské ministerstvo spravedlnosti a bezpečnosti vydalo dokument, ve kterém vysvětluje svůj přístup k šifrování. „Vláda věří, že v současné době není vhodné legislativně omezovat rozvoj a dostupnost šifrování v zemi,“ zní nejdůležitější část…

Rich Salz zveřejnil informace o změně licence OpenSSL. Projekt chce opustit současnou „unikátní a svéráznou“ licenci a přejít na standardní text licence Apache 2.0. Stát by se tak mělo už v příštím vydání, ale bude to vyžadovat souhlas téměř všech…

V reakci na zranitelnost Heartbleed pod křídly Linux Foundation vznikla Core Infrastructure Initiative, jejímž cílem je finančně podporovat open-source projekty, které jsou zásadní pro bezpečnost celého internetu. Mnoho velkých firem přispělo a…

Dle plánu vydal vývojový tým OpenSSL dvě nové verze kryptografické knihovny OpenSSL. Konkrétně se jedná o verze 1.0.2d a 1.0.1p. Řeší pouze jednu bezpečnostní chybu s označením CVE-2015–1793, která je klasifikována jako „vysoce kritická“. Větve…

S novými implementacemi protokolu SSL / TLS se roztrhl pytel po objevení kritické zranitelnosti Heartbleed v knihovně OpenSSL, nejpoužívanější open source implementaci.  Asi nejznámější fork je od vývojářů unixového systému OpenBSD, LibreSSL. Zde…

Vývojový tým OpenSSL na mailing listu uveřejnil informaci, že plánuje uvedení nových verzí kryptografické knihovny OpenSSL. Konkrétně se má jednat o verze 1.0.2d a 1.0.1p. Řešit mají pouze jednu bezpečnostní chybu klasifikovanou jako „vysoce…

Vývojový tým OpenSSL na mailing listu uveřejnil informaci, že plánuje uvedení nových verzí kryptografické knihovny OpenSSL. Konkrétně se má jednat o verze 1.0.2a, 1.0.1m, 1.0.0r a 0.9.8zf. Řešit mají hned několik bezpečnostních chyb, včetně jedné…

Už je tomu téměř rok, co zranitelnost Heartbleed odstartovala snahy reformovat knihovnu OpenSSL. Různá opatření už byla provedena, např. byl zpřehledněn systém vývoje, ale na to nejdůležitější – nezávislý audit – se stále čeká. Nyní už alespoň bylo…

FREAK (Factoring Attack on RSA-EXPORT Keys), tak je pojmenována nová zranitelnost SSL/TLS, jenž je obsažena v OpenSSL starších verzí než 1.0.1k. Podobně jako v případě POODLE útoku, i zde jde o snížení bezpečnosti SSL/TLS komunikace na minimum…

Generátor náhodných čísel (RNG, Random Number Generator) obsažený v kernelu operačního systému FreeBSD obsahoval čtyři měsíce chybu, díky níž bylo možné predikovat výstupní hodnoty. Tu objevil John-Mark Gurney, který ji následně opravil. Gurney…

Po téměř třech letech vyšla další velká verze knihovny OpenSSL. Jedná se o verzi 1.0.2, která už několik měsíců byla v betě a je prvním hmatatelným výsledkem snahy projekt zpřehlednit, aby se neopakovaly chyby typu Heartbleed. Changelog nové verze…

Knihovna OpenSSL se po několika týdnech hlásí s novými verzemi 1.0.1k, 1.0.0p a 0.9.8zd. Ty stejně jako několik posledních vydání opravují nalezené bezpečností chyby. Další Heartbleed se naštěstí nekoná, jedná se o chyby střední a nižší závažnosti…

Kryptografická knihovna OpenSSL vyšla ve třech nových verzích: 0.9.8zb, 1.0.0n a 1.0.1i. Celkem bylo opraveno devět bezpečnostních chyb: CVE-2014–3505, CVE-2014–3506, CVE-2014–3507, CVE-2014–3508, CVE-2014–3509, CVE-2014–3510, CVE-2014–3511,…

Knihovna LibreSSL, reformní fork OpenSSL, vyšla ve verzi 2.0. To znamená, že již prošla první velkou očistou – odstraněno bylo na 40 % kódu. Vydání je důležité i v tom, že kromě OpenBSD konečně začíná oficiálně podporovat další operační systémy: OS…

Na knihovnu OpenSSL se ve světle Heartbleed a dalších chyb snesla vlna kritiky. Dokonce už vznikl fork LibreSSL, který má za cíl dát knihovnu pořádně do pucu. I komunita kolem OpenSSL si je ovšem vědoma nedostatků a proto připravila rámcový plán,…

Po LibreSSL tu máme další fork knihovny OpenSSL, ovšem trochu jiného rázu. Nový fork s pracovním názvem BoringSSL zakládá Google a bude jej používat ve svých projektech jako Chromium nebo Android. Založení forku má především praktický, nikoliv…

Po nedávném odhalení známého útoku Heartbleed se knihovna OpenSSL dostala pod drobnohled mnohých bezpečnostních expertů. OpenSSL Foundation nyní oznámila dalších sedm bezpečnostních chyb s různou závažností. Pomocí několika z nich je možné způsobit…

Pod křídly Linux Foundation vznikla Core Infrastructure Initiative (CII), která má za cíl dohlížet zejména na bezpečnost nejrozšířenějších internetových open-source projektů. Iniciativa vznikla v reakci na kritickou chybu v OpenSSL, tzv. Heartbleed…