Hlavní navigace

LibreSSL zranitelností DROWN netrpí

Sdílet

Roman Bořánek 2. 3. 2016

V knihovně OpenSSL, resp. přímo v SSLv2, byla nalezena další nepříjemná zranitelnost přezdívaná DROWN, která umožňuje provedení man-in-the-middle útoku na šifrovanou komunikaci. Konkurenční projekt LibreSSL, který z OpenSSL vychází, se v té souvislosti pochlubil, že chybu neobsahuje. A to jednoduše z toho důvodu, že už SSLv2 nepodporuje. Ukazuje se tak, že očesávání kódu o v podstatě již nepotřebné funkce může být ku prospěchu bezpečnosti.

Přesvědčilo vás LibreSSL, nebo zůstáváte u OpenSSL? Napište nám do diskuze.

(Zdroj: Slashdot)

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 3. 3. 2016 9:11

    rookie (neregistrovaný) ---.broadband.swan.sk

    Do Linuxu som sa aktívne pustil asi v polici roka 2015, keď som si obstaral RPi B+ a potom aj RPi 2. Linux som sa učil skrz Raspbian. Keď sa mi začal v systéme motať systemd, rozhodol som sa opustiť Linux a pokračovať s OpenBSD (samozrejme na RPi mám zatiaľ stále Raspbian asi kým nebudú k dispozícii podobne veľké dosky s architektúrou x86).

    Preto moja odpoveď je, áno, ostávam pri LibreSSL :)

  • 3. 3. 2016 12:19

    djmanas

    Otázkou zůstává, za jak dlouho zareagovalo OpenSSL na chybu a vydalo patche pro jednotlivé systémy (nesleduji to zas tak), každopádně hlavní věc je, že je to prakticky jedno, každý SW obsahuje chyby, takže sice LibreSSL neobsahuje tuto, ale otázkou je, za jak dlouho se objeví jiná stejně závažná...

  • 3. 3. 2016 14:00

    tomas (neregistrovaný) 94.142.233.---

    Ahoj,
    konkurencni projekt tomaSSL take zranitelnosti DROWN netrpi.
    A to jednoduše z toho důvodu, že už SSLv2 nepodporuje. A take SSLv* a TLSv*

  • 3. 3. 2016 16:26

    castan (neregistrovaný) 77.87.242.---

    Krome odstraneni legacy kodu byla v LibreSSL taky spousta kodu opravena a dopsany kontroly vstupnich parametru. V OpenSSL to porad chybi a ani bych se nedivil, ze se to i ted vesele (zne)uziva, nez to bude tak proflaknute az se to objevi na CVE.

    Mj. priklad Linuxove distribuce, ktera kompletne nahradila OpenSSL za LibreSSL:

    Void Linux

    A jako bonus, misto systemD pouziva minimalisticky runit ;-)

  • 3. 3. 2016 17:21

    rookie (neregistrovaný) 88.212.52.---

    Ďakujem za tip na Void Linux.
    Presne toto sa mi hodí. Na webe majú k dispozícii bootovateľné obrazy pre Raspberry. Otestujem.