Hlavní navigace
Root.cz  »  Bezpečnost  »  LibreSSL zranitelností DROWN netrpí

LibreSSL zranitelností DROWN netrpí

Roman Bořánek
2. 3. 2016
5 nových názorů

Sdílet

V knihovně OpenSSL, resp. přímo v SSLv2, byla nalezena další nepříjemná zranitelnost přezdívaná DROWN, která umožňuje provedení man-in-the-middle útoku na šifrovanou komunikaci. Konkurenční projekt LibreSSL, který z OpenSSL vychází, se v té souvislosti pochlubil, že chybu neobsahuje. A to jednoduše z toho důvodu, že už SSLv2 nepodporuje. Ukazuje se tak, že očesávání kódu o v podstatě již nepotřebné funkce může být ku prospěchu bezpečnosti.

Přesvědčilo vás LibreSSL, nebo zůstáváte u OpenSSL? Napište nám do diskuze.

(Zdroj: Slashdot)

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.

  • 3. 3. 2016 9:11

    rookie (neregistrovaný)

    Do Linuxu som sa aktívne pustil asi v polici roka 2015, keď som si obstaral RPi B+ a potom aj RPi 2. Linux som sa učil skrz Raspbian. Keď sa mi začal v systéme motať systemd, rozhodol som sa opustiť Linux a pokračovať s OpenBSD (samozrejme na RPi mám zatiaľ stále Raspbian asi kým nebudú k dispozícii podobne veľké dosky s architektúrou x86).

    Preto moja odpoveď je, áno, ostávam pri LibreSSL :)

  • 3. 3. 2016 12:19

    djmanas

    Otázkou zůstává, za jak dlouho zareagovalo OpenSSL na chybu a vydalo patche pro jednotlivé systémy (nesleduji to zas tak), každopádně hlavní věc je, že je to prakticky jedno, každý SW obsahuje chyby, takže sice LibreSSL neobsahuje tuto, ale otázkou je, za jak dlouho se objeví jiná stejně závažná...

  • 3. 3. 2016 14:00

    tomas (neregistrovaný)

    Ahoj,
    konkurencni projekt tomaSSL take zranitelnosti DROWN netrpi.
    A to jednoduše z toho důvodu, že už SSLv2 nepodporuje. A take SSLv* a TLSv*

  • 3. 3. 2016 16:26

    castan (neregistrovaný)

    Krome odstraneni legacy kodu byla v LibreSSL taky spousta kodu opravena a dopsany kontroly vstupnich parametru. V OpenSSL to porad chybi a ani bych se nedivil, ze se to i ted vesele (zne)uziva, nez to bude tak proflaknute az se to objevi na CVE.

    Mj. priklad Linuxove distribuce, ktera kompletne nahradila OpenSSL za LibreSSL:

    Void Linux

    A jako bonus, misto systemD pouziva minimalisticky runit ;-)

  • 3. 3. 2016 17:21

    rookie (neregistrovaný)

    Ďakujem za tip na Void Linux.
    Presne toto sa mi hodí. Na webe majú k dispozícii bootovateľné obrazy pre Raspberry. Otestujem.

Autor zprávičky

Roman Bořánek

Bývalý redaktor serveru Root.cz, dnes produktový manažer a konzultant se zaměřením na Bitcoin a kryptoměny.

Nálepky:

Atmoskop.cz - Hodnocení zaměstnavatelů »
Atmoskop.cz - Hodnocení zaměstnavatelů »

Dále u nás najdete

ABBYY FineReader rozdává licence zdarma!

Pět bezplatných Chrome rozšíření, bez kterých se neobejdeme

Na hypotéky dosáhne od července více lidí

Objednat se k lékaři? Bez poplatku za termín to už někde vůbec nejde

Věřitelé zkrachovalého e-shopu Mamut.cz chtěli najmout detektivy

Na dohody o provedení práce se chystá bič. Brigádníci se prodraží

Microsoft přidává do Windows konečně i užitečné Widgety

Nahradí AI vývojáře?

Transakce s kryptoměnami se budou hlásit daňovým úřadům

Vzpomínáte na Blackberry? Je tu počítač Beepberry!

Změny DPH jsou bizár, Stanjura chce asi překonat Babišovo pivo

Historie Volhy M 21: Povstaňte, přichází Carevna

Stát přispívá 50 000 korun na IT kurz

T-Mobile nabízí 100 GB data za 300 korun měsíčně

Elektromobily z Číny tu nechceme. Francie zvýhodní auta z EU

Aktinická keratóza: červené šupiny, které se snadno změní v rakovinu

Čechy může k elektromobilitě přitáhnout hatchback MG4

Pozor na domácí ošetření zubů ultrazvukem. Můžete si zničit zuby

Na starém penzijku jste za 10 let prodělali 20 %

Zaměstnavatelé budou brzy zasílat nové potvrzení o příjmu

Školení: Jak bezpečně spravovat a provozovat linuxové servery?
VÍCE INFO