Разработчики проекта OpenBSD представили (http://marc.info/?l=openbsd-tech&m=140510291304119&w=2) первый выпуск переносимой редакции пакета LibreSSL (http://www.libressl.org/), в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Из особенностей LibreSSL можно отметить ориентацию на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности и проведением значительной чистки (http://opensslrampage.org/) и переработки кодовой базы. При работке LibreSSL также проводится работа по повышению читаемости кода, добавлению дополнительных средств защиты и устранению ошибок.
Переносимая версия LibreSSL пригодна для использования в различных операционных системах и не ограничивается работой в окружении OpenBSD (до сих пор LibreSSL был доступен для тестирования только пользователям OpenBSD). Работа пакета протестирована в Linux, Solaris, OS X и FreeBSD. Интеграция LibreSSL в состав OpenBSD ожидается в ближайшем выпуске 5.6, который намечен на 1 ноября.
Среди внесённых изменений:
- Удалена поддержка всех движков шифрования (кроме padlock и aesni) и слабых дополнений для получения энтропии.
- Прекращена поддержка устаревших и малоиспользуемых платформ, в том числе Mac OS, NetWare, OS/2 и VMS, прекращена поддержка big-endian для i386 и amd64 (они всегда little-endian).
- Проведена чистка кода от некоторых компонентов, специфичных для платформы Windows. Например, удалён код OPENSSL_isservice и других функций для учёта особенностей не POSIX-систем.
- Удалён весь код, связанный с поддержкой SSL-расширения heartbeat, ошибка в котором привела к катастрофической (http://www.opennet.ru/opennews/art.shtml?num=39544) уязвимости (http://www.opennet.ru/opennews/art.shtml?num=39518).
- Прекращено использование дополнительных обёрток для различных потенциально небезопасных функций (snprintf, opendir, функции работы с сокетами и т.п.).
- Вызовы strlcat/strlcpy (http://opensslrampage.org/post/83153080370/re-using-strlcpy-...) замены (http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libssl/src/cry...) на snprintf (http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libssl/src/app...), связка malloc+memset заменена (http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libssl/src/ssl...) на calloc.
- Исправлена серия ошибок распределения памяти (например, в некоторых местах почищен (http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libssl/src/cry...) двойной вызов free).
- Внесена серия исправлений, связанных с решением проблемы 2038 года.
- Объявлено излишним (http://opensslrampage.org/post/83222773842/writing-your-own-...) и удалено (http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libssl/src/app...) собственное кэширование результатов DNS-запросов.
- Удалена поддержка bdes;
- Удалены неиспользуемые ssl-утилиты на Perl;
- Удалена поддержка FIPS API, так как навязываемые сертификацией требования противоречат целям свободного проекта;
URL: http://marc.info/?l=openbsd-tech&m=140510291304119&w=2
Новость: http://www.opennet.ru/opennews/art.shtml?num=40184
