LINUX.ORG.RU

OpenBSD производит массовый аудит и переработку OpenSSL — libreSSL

 , , , ,


1

4

В свете недавней очень серьёзной уязвимости Heartbleed протокола Heartbeat в сторонней библиотеке OpenSSL, разработчики OpenBSD решили окончательно и бесповоротно переписать всю библиотеку SSL, удалив груду разных кодов совместимости и поддержки несуществующих архитектур (например, big-endian i386/amd64), сохранив лишь API-совместимость с upstream OpenSSL.

Данное начинание некоторые временно называли OpenOpenSSL (т.к. оригинальный OpenSSL разрабатывается вне OpenBSD), но OpenBSD Foundation теперь объявило официальное название — «LibreSSL (the OpenBSD fork of OpenSSL)». Название также можно воспринимать как «lib-re-ssl» — переработка библиотеки ssl.

Что именно принудило проект OpenBSD отказаться от какого-либо сотрудничества с OpenSSL в будущем? Разработчик tedu@openbsd решил описать историю нового libressl на свежую память:

  • Протокол Heartbeat никто до сих пор не использует, однако он был всегда включён с момента поддержки в OpenSSL пару лет назад, и его нельзя было выключить без перекомпиляции с OPENSSL_NO_HEARTBEATS. (Поддержка теперь была полностью удалена из OpenBSD libressl.)
  • Предполагалось, что для избежания Heartbleed на OpenBSD достаточно будет установить опцию J в malloc.conf. Однако разработчики OpenSSL специально позаботились и сделали это невозможным, и поэтому даже на OpenBSD необходимо пересобирать всю библиотеку для устранения серьёзной уязвимости Heartbleed (в 5.3, 5.4 и 5.5, OpenSSL 1.0.0f в 5.2 и ранее не уязвим).
  • В процессе тестирования опции J с OpenSSL была обнаружена старинная ошибка в OpenSSL, о которой уже несколько лет было известно разработчикам OpenSSL, и даже имелось очень простое исправление. Однако разработчики OpenSSL до сих пор не приняли это к сведению. Командам OpenBSD, FreeBSD и Debian пришлось исправлять ошибку без какой-либо помощи от OpenSSL. Пару недель спустя, в upstream CVE-2010-5298 до сих пор исправить не удосужились.

Так как сотрудничество с таким upstream нереально и в дальнейшем не предполагается, было принято решение улучшить читаемость всего кода в соответствии с style(9) — KNF, а также удалить весь неиспользуемый код для упрощения аудита. В будущем планируется выпуск портативной версии, после периода стабилизации.

>>> http://BXR.SU/OpenBSD/lib/libssl/src/ssl/



Проверено: fallout4all ()

Ответ на: комментарий от katya_mama

А в своих задницах они дыры не нашли?

Про задницы не знаю, но факт остается фактом, что Only two remote holes in the default install. Пока этого никто не оспорил.

Odalist ★★★★★ ()
Ответ на: комментарий от Odalist

чувак, этот миф был развеян ещё во времена существования отличного сайта wideopenbsd.org, поищи на archive.org.

anonymous ()
Ответ на: комментарий от anonymous

отличного сайта wideopenbsd.org, поищи на archive.org.

Спасибо за информацию.

Odalist ★★★★★ ()

Массовый аудит ни один дистриб ещё не проводил?

Stalin ★★★★★ ()
Ответ на: комментарий от user_id_68054

Тебя никто не заставляет писать с использованием openssl библиотеки, можешь написать свою реализацию ssl с казино и арфистками и без упоминания в ридми. Этож свобода...

anonymous ()
Ответ на: OpenSSL is written by monkeys от Camel

Re: OpenSSL is written by monkeys

Типичная белка-истеричка. Пишешь на Си - будь готов нырять в говнокод по шею. В OpenSSL хотя бы какая-то организация кода более-менее прослеживается.

anonymous ()
Ответ на: комментарий от anonymous

Тебя никто не заставляет писать с использованием openssl библиотеки, можешь написать свою реализацию ssl с казино и арфистками и без упоминания в ридми. Этож свобода...

вот ты, аноним — глядя на тебя простым взглядом — кажется будто ты просто странный человек:

..с одной стороны ты мне сейчас говоришь «не используй OpenSSL, если считаешь что они обманщики»

..а с другой стороны ты делаешь программы в которых хвастаешь тем что ты ипользуешь OpenSSL. и заставляешь меня-и-других поверить будто бы OpenSSL классные ребята..

но глубоко поразмыслив — разумеется я понимаю, что тебя просто обманным путём заставили участвовать в этой Афере [через 6-й пункт контракта].

но и ты, аноним, не стыдись этого обмана, а наберись мужества и произниси: "да, я как и все попался по своей наивности.. и теперь не знаю как прервать всё это"..

user_id_68054 ★★★★★ ()
Ответ на: Re: OpenSSL is written by monkeys от anonymous

Говнокод не от языка

Пишешь на Си - будь готов нырять в говнокод по шею.

Gtk, Gstreamer?

Camel ★★★★★ ()
Ответ на: комментарий от user_id_68054

фигли они меня заставляют писать всякие рекламные говнострочки в UI моего ПО?! свобода явно ущемлена :-)

Ну в BSD-лицензии практически то же самое, в этом смысле это стандартная практика:

Redistribution and use in source and binary forms,
with or without modification, are permitted provided
that the following conditions are met:

    Redistributions of source code must retain the above
copyright notice, this list of conditions and the following
disclaimer.
    Redistributions in binary form must reproduce the above
copyright notice, this list of conditions and the following
disclaimer in the documentation and/or other
materials provided with the distribution.

Lothlorien ★★★ ()
Ответ на: комментарий от ppy

Хотя в любом случае, если код либы под гпл эта задача немного усложняется

Чем же? Есть такая штука, называется «корректность встраивания», так вот, если её не придерживаться, даже закладок внедрять не надо, всё и так получится.

Lothlorien ★★★ ()

Раздражает, когда делают форк из продукта Open и называют его Libre. Типа, был свободный продукт, но стал еще свободнее. Причем, зачастую это политическое решение. Потом еще нужно будет налепить форки LibreLibre, LibreLibreLibre...

denton ★★★★★ ()
Ответ на: комментарий от denton

Не, потом будут форки типа VrijSSL (голландский) или VapaSSL (финский) ;)

Lothlorien ★★★ ()
Ответ на: комментарий от Lothlorien

VrijSSL (голландский) или VapaSSL (финский) ;)

ОткрытоSSL жэ!

anonymous ()
Ответ на: комментарий от katya_mama

Тем не менее сам подход к проблеме у товарищей весьма действенный. Ну то что для спецлужб практически не бывает невзламываемых систем-это факт, но степенью этой самой невзламываемости можно варировать. А вот openssl-это явполне возможно, что одно из подразделений АНБ. Глупо было бы считать, что у них нет алгоритмов расчета и информации об заведомо заложенных бекдорах в алгоритмы и коды реализации, именно так и сертифицируют)

ChAnton ★★ ()
Ответ на: комментарий от ChAnton

то что для спецлужб практически не бывает невзламываемых систем-это факт

Да ты чо! То есть ЦРУ читает переписку ФСБ, а ФСБ - переписку ЦРУ? %)

tailgunner ★★★★★ ()
Ответ на: комментарий от tailgunner

Да ты чо! То есть ЦРУ читает переписку ФСБ, а ФСБ - >>переписку ЦРУ? %)

Да без проблем. Кто шустрее, тот и читает. С переменным успехом. Но тут очень много факторов, от которых зависит успех, и наличие «дыр», бекдоров, алгиритмов итд еще не гарантирует выполнение данной задачи, но является потенциальной угрозой.

ChAnton ★★ ()
Ответ на: комментарий от WatchCat

Как ни странно, но «портировать» это правильное применение заимствования из английского. И оно уже устоялось.

А вот включать в русский вариант суффикс -able, это полная безграмотность.

Назови, пожалуйста, слово описывающее программу которую легко портировать. Замену слову портабельный.

anonymous ()
Ответ на: комментарий от ChAnton

тут очень много факторов, от которых зависит успех, и наличие «дыр», бекдоров, алгиритмов итд еще не гарантирует выполнение данной задачи

не гарантирует выполнение

На этом можно и закончить разговор о том, что «не бывает невзламываемых».

tailgunner ★★★★★ ()
Ответ на: комментарий от tailgunner

На этом можно и закончить разговор о том, что «не бывает невзламываемых».

Невзлавываемых не быват. Весь вопрос в затратах на взлом. Затраты могут быть нереально большими. Но это в данный момент. Через год нереально большие затраты могут превратиться в реально большие. А это существенная разница.

anonymous ()
Ответ на: комментарий от anonymous

Русский язык заимствует слова, давая им свои оттенки. Так: Портируемая - программу, которую можно портировать. Портабельная - программа, которую лекго портировать.

anonymous ()
Ответ на: комментарий от Lothlorien

в этом смысле это стандартная практика: <ЦИТАТА_BSD_LICENSE>

ну вот это была цитата действительно справедливого требования..

то есть — BSDL не заставляет меня произносить чужие фразы от моего имени [BSDL не заставляет меня врать, в случае если произносимая мною фраза не совпадает с реальностью, или совпадает от части].

например, BSDL не заставляет меня называть мою программу — «продуктом». :-)

user_id_68054 ★★★★★ ()
Ответ на: комментарий от anonymous

Портабельная - программа, которую лекго портировать.

Шо за бред.

WatchCat ★★★★★ ()
Ответ на: комментарий от anonymous

Невзлавываемых не быват. Весь вопрос в затратах на взлом.

Капитан, вы всегда кстати.

tailgunner ★★★★★ ()
Ответ на: комментарий от tailgunner

Да ты чо! То есть ЦРУ читает переписку ФСБ, а ФСБ - переписку ЦРУ? %)
tailgunner

Ну то что ЦРУ могло читать наших в районе sic!!! 1943-1947 годов они только пару лет как признали ... Так что если и узнаем как оно там - то не скоро ...

anonymous ()
Ответ на: комментарий от anonymous

VrijSSL (голландский) или VapaSSL (финский) ;)

ОткрытоSSL жэ!

Ниии ... по нашему будет ХаляваSSL же! :)

anonymous ()
Ответ на: комментарий от tailgunner

На этом можно и закончить разговор о том, что «не бывает >>невзламываемых».

Никто и не говорил что «невзламываемые системы» бывают. Любому специалисту очевидно, что это не так. Взламыват все. Вопрос лишь в целесообразности и цене вопроса, и не более того. А вот минимизировать риски также можно и нужно. Потому данный вопрос всегда остается актуальным и не закрывается никогда.

ChAnton ★★ ()
Последнее исправление: ChAnton (всего исправлений: 2)

На самом деле, ни одно подразделение многочисленных компаний, отвечающих за информационную безопасность и защиту не сумело за столькие годы выявить такую страшную уязвимость, и их всех, этих протирателей штанов следует отправить в «утиль». Они даже рута то толком закрыть бывшим сотрудникам не способны.

ChAnton ★★ ()
Последнее исправление: ChAnton (всего исправлений: 1)
Ответ на: комментарий от ChAnton

Взламыват все

Ну да, и это тоже очевидно любому специалисту. И этому же специалисту очевидно, что «нет гарантий выполнения задачи». Этот специалист такой специалист.

tailgunner ★★★★★ ()
Ответ на: комментарий от tailgunner

Ну да, и это тоже очевидно любому специалисту. И этому же >>специалисту очевидно, что «нет гарантий выполнения задачи».

Гарантий не может дать никто, как на взлом, так и на защиту. А в чем собственно проблема? Одно другому не противоречит. В том числе тому, что невзламываемых систем не бывает-что есть наглядный факт. Вы логику поправте свою, или троллить прекращайте, не идет сие вам.

ChAnton ★★ ()
Последнее исправление: ChAnton (всего исправлений: 1)
Ответ на: комментарий от Loki13

Чтобы если кто-то удосужится в популярном софте в тот-же libressl добавить своих закладок и перекомпилять, то можно было в юридическом поле запросить открытия кодов закладок)

Если это открытый продукт, то код и так есть, а если проприетарный, то открытие библиотеки ничего не даст, т.к. в проприетарный продукт можно закладки куда угодно и в любом количестве напихать.

Ты не понял. Смысл в том что по GPL обязаны открыть код закладки. То есть обнародовать уязвимость или возможность.

anonymous ()
Ответ на: комментарий от ChAnton

практически не бывает невзламываемых систем

ну, вот и столпы ктиптоанализа подтянулись...

несмотря на _теоретическую_ возможность взлома любой системы, шифрование используется именно потому, что очень часто _практически_ невозможно осуществить взлом используя приемлемое количество ресурсов (время, деньги, и т.п.)

anonymous ()
Ответ на: комментарий от anonymous

шифрование используется именно потому, что очень часто >>_практически_ невозможно осуществить взлом используя >>приемлемое количество ресурсов

Но как нам всем известно, особенно для большинства с недавних пор, алгоритмы шифрования, а также их непосредственные реализации, вовсе не лишены уязвимостей, которые к тому же присутствуют в данных реализациях и алгоритмах довольно продолжительное время, иногда годами. Это не единичный общеизвестный факт, но если задуматься получше, то по статистике и по логике неизвестных фактов подобных этому, гораздо больше. И глупо думать, что такие уязвимости не используются или даже не закладываются заведомо для последующего использования теми, кому это нужно. Ну и определение «приемлемого количества ресурсов» в таком случае многократно теряет свою первоначальную силу)

ChAnton ★★ ()
Ответ на: комментарий от anonymous

Смысл в том что по GPL обязаны открыть код закладки. То есть >>обнародовать уязвимость или возможность.

Меня больше всего умиляет слово «ОБЯЗАНЫ»))) Ну конечно они все и всегда «обнародуют», специально для таких как ты))) Самому то не смешно?

ChAnton ★★ ()
Ответ на: комментарий от anonymous

Смысл в том что по GPL обязаны открыть код закладки.

По GPL да, но,

The OpenSSL toolkit stays under a dual license, i.e. both the conditions of the OpenSSL License and the original SSLeay license apply to the toolkit.

лицензия у OpenSSL как я понимаю ни разу ни GPL

Смысл в том что по GPL обязаны открыть код закладки.

По GPL да, а если LGPL, то уже и не обязаны. Я вообще хотел сказать, что зачем делать закладку в GPL компоненте, когда ты ее можешь сделать в любом своем проприетарном модуле. А если у тебя не проприетарное приложение, то и вопросов нет.

Loki13 ★★★★★ ()
Последнее исправление: Loki13 (всего исправлений: 1)
Ответ на: комментарий от ChAnton

Вы человек не выполняющий обязательств и не держащий слова? Нет, мне не смешно.

anonymous ()
Ответ на: комментарий от anonymous

Причем тут неисполнение обещаний мной, или вы считаете что из все без исключения исполняют, особенно спецлубжы врага? Тогда вы не годитесь на любую должность в области безопасности. И еще, учи матчасть.

ChAnton ★★ ()
Последнее исправление: ChAnton (всего исправлений: 1)
Ответ на: комментарий от Loki13

Меня больше всего несмешило «обязаны открыть код закладки», они его этот код конечно открыли, но не рассказали что там закладка, широкой публике, а только тем кому «надо». Ну а потом если что, всегда можно списать на «просто баг» или «недосмотр», мол «сами не знали», ага)))

ChAnton ★★ ()
Последнее исправление: ChAnton (всего исправлений: 1)
Ответ на: комментарий от val-amart

libressl

Либресс-л инвизибл - спасёт вас от кровавых протечек!

in_q ()

Open, libre... А что идет после libre, когда и его становится мало?

RainbowJose ()
Ответ на: комментарий от g1itch

ну может быть если программа например предназначена для печатания квитанций — то такая программа может дописывать эту фразу ("This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit (http://www.openssl.org/)") — на квитанциях?! :-D

user_id_68054 ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.