Обновился socat. В новой версии исправлена возможная DoS атака (CVE ID ещё ожидается), улучшена безопасность SSL клиента и другие исправления.
Важно отметить, что новая версия серверной части socat'а добавляет ECDHE протокол обмена ключами. (ECDHE - Elliptic curve Diffie–Hellman Ephemeral)
До этого можно было использовать только DHE протокол обмена недолговечными («эфемерными») ключами (KeyEx).
Эфемерный протокол обмена ключами обеспечивает совершенную прямую секретность PFS (Perfect Forward Secrecy). О PFS подробнее здесь https://ru.wikipedia.org/wiki/Perfect_forward_secrecy
В ходе релиза версии 1.7.3.0, автор допустил ошибку в файле «xio-openssl.c», поэтому чтобы включить серверную поддержку ECDHE, достаточно удалить две строчки или применить следущий патч:
--- socat-1.7.3.0/xio-openssl.c 2015-01-24 15:33:42.000000000 +0100
+++ socat-1.7.3.0-ecdhe/xio-openssl.c 2015-01-25 13:38:54.353641097 +0100
@@ -960,7 +960,6 @@
}
}
-#if defined(EC_KEY) /* not on Openindiana 5.11 */
{
/* see http://openssl.6102.n7.nabble.com/Problem-with-cipher-suite-ECDHE-ECDSA-AES256-SHA384-td42229.html */
int nid;
@@ -982,7 +981,6 @@
SSL_CTX_set_tmp_ecdh(*ctx, ecdh);
}
-#endif /* !defined(EC_KEY) */
#if OPENSSL_VERSION_NUMBER >= 0x00908000L
if (opt_compress) {
>>> Подробности
