Разработчики проекта OpenBSD представили (https://marc.info/?l=openbsd-announce&m=148593314925285&w=2) корректирующие выпуски 2.5.1, 2.4.5 и 2.3.10 переносимой редакции пакета LibreSSL (http://www.libressl.org/), в рамках которой развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности.
В новой версии добавлена защита от атак по сторонним каналам (side-channel (https://ru.wikipedia.org/wiki/%D0%90%D1%...)), нацеленным на восстановление содержимого ключей ECDSA через моделирование содержимого кэша процессора, учитывая отклонение времени доступа к данным до и после сброса кэша. Проблема вызвана использованием функции
BN_mod_inverse() без выставления флага обеспечения постоянного времени выполнения.
В новых выпусках также внесены изменения, связанные с улучшением совместимости с платформами iOS и MacOS. Из специфичных для версии LibreSSL 2.5.1 изменений отмечается поддержка алгоритма обмена ключами Curve25519, возможность применения альтернативных методов верификации цепочки доверия в сертификатах, добавление утилиты ocspcheck для проверки сертификатов при помощи сервисов OCSP, проведение чистки кода и скрытие приватных объектов в libssl и libcryto, переработка системных руководств, добавление в утилиту openssl параметра "--groups" для задания типа эллиптических кривых в списке s_client, добавление опции SSL_OP_NO_CLIENT_RENEGOTIATION для запрета инициирования клиентом повторного согласования соединения.
URL: https://marc.info/?l=openbsd-announce&m=148593314925285&w=2
Новость: http://www.opennet.dev/opennews/art.shtml?num=45973