Portable LibreSSL erscheint als Projekt-Inches zur Primetime

Am Wochenende wurden die erste und zweite Version eines tragbaren LibreSSL-Pakets von der OpenBSD Foundation veröffentlicht.

Die Veröffentlichung der LibreSSL 2.0.x-Reihe ist die erste offizielle Unterstützung, die auf anderen Betriebssystemen als OpenBSD läuft, mit “verschiedenen Versionen” von Linux, Solaris, Mac OS X und FreeBSD wird nun unterstützt.

Dies ist eine erste Version, die es der Community ermöglicht, mit der Nutzung und der Bereitstellung von Feedback zu beginnen “, sagte OpenBSD Foundation-Direktor und OpenBSD-Entwickler Bob Beck.” Wir werden die Unterstützung für andere Plattformen hinzufügen, sobald Zeit und Ressourcen es erlauben.

Während die Bibliothek Unterstützung für neue Betriebssysteme gewonnen hat, ist sie noch nicht bereit für die OpenSSL, die von der OpenBSD Foundation beabsichtigt wird.

Gentoo-Entwickler Johannes “Hanno” Böck detaillierte den Prozess der Ausschaltung von OpenSSL für LibreSSL über das Wochenende, und während für einen externen Benutzer die Systeme erscheinen fast identisch, intern gibt es eine Reihe von Schleifen noch zu springen, um ein funktionierendes System haben.

Böck sagte, dass das interessanteste Thema, mit dem er konfrontiert wurde, der Aufbau von OpenSSL war, der von LibreSSL abhängt, die beide von OpenBSD entwickelt wurden.

Um dies zu verstehen, müssen Sie verstehen, wie sowohl LibreSSL als auch OpenSSH entwickelt werden “, schrieb Böck.” Sie sind beide von OpenBSD und nutzen dort einige Funktionen, die nur dort verfügbar sind. Damit sie auf anderen Systemen aufgebaut werden können, gibt es portable Versionen, die die fehlenden OpenBSD-only-Funktionen verschicken. Einer von ihnen ist arc4random ().

Sowohl LibreSSL als auch OpenSSH liefern ihre Kompatibilitätsversion von arc4random (). Die von OpenSSH ruft RAND_bytes () auf, was eine Funktion von OpenSSL ist. Die Funktion RAND_bytes () von LibreSSL ruft jedoch arc4random () auf. Aufgrund der Verknüpfungsreihenfolge verwendet OpenSSH sein eigenes arc4random (). Also, was wir hier haben ist eine schöne Rekursion. Arc4random () und RAND_bytes () versuchen, einander aufzurufen. Das Ergebnis ist ein segfault.

Das Fix, das Böck gefunden hatte, war, über LibreSSLs arc4random.c-Datei zu OpenSSH zu kopieren, was er sagte, arbeitete “überraschend gut” und nach einer Anzahl von anderen Korrekturen und Patches konnte ein Testsystem haben, das nur LibreSSL verwendete.

Das OpenBSD-Team hat die Entscheidung getroffen, OpenSSL zu forkü- ren und LibreSSL zu erstellen, nachdem man den Quellcode von OpenSSL betrachtet hat, nachdem der Heartbling-Fehler entdeckt wurde.

In einer Status-Aktualisierung des LibreSSL-Projekts im Mai, sagte Beck, dass es nicht Heartbleed, die den Drang, Gabel OpenSSL, eine Entscheidung der Entwickler von OpenSSL, um ihre eigenen benutzerdefinierten Speicher zuordnen erstellt. Umsetzung.

“Im Grunde haben sie beschlossen, malloc ist langsam auf einigen Plattformen, so let ‘s davon ausgehen, dass malloc ist langsam überall”, sagte Beck.

Innovation, M2M-Markt springt zurück in Brasilien, Sicherheit, FBI verhaftet angebliche Mitglieder von Crackas mit Attitude für Hacking US gov’t Beamten, Security, WordPress fordert die Nutzer jetzt zu aktualisieren kritische Sicherheitslücken, Sicherheit, White House ernennt erste Bundesoberhäuptling Sicherheitsbeauftragter

Lassen Sie uns unseren eigenen Cache implementieren, der niemals etwas befreit und nur die Objekte wiederverwendet. Besser noch, die Art, wie es Objekte wieder verwendet, ist es hält eine Last-in, First-out-Warteschlange, so dass, wenn Sie tatsächlich einen Gebrauch-after-free tun, sind die Chancen hervorragend, dass dieses Objekt noch da ist.

Tatsächlich ist es fast sicher, dass, wenn Sie etwas frei und verwenden Sie es sofort, das Ding ist immer noch da und es spielt keine Rolle, dass Sie es befreit.

Beck sagte, dass der kundenspezifische Verteiler Heartbleed “das viel schlechter” machte und war ein “sehr wirkungsvolles Ausnutzungsmethode-Gegenmaßnahme”, da es “nicht besser entworfen werden konnte”, um Angriffe schwer zu erkennen.

? M2M Markt springt zurück in Brasilien

FBI verhaftet angebliche Mitglieder von Crackas mit Haltung für das Hacken US gov’t Beamte

WordPress fordert Benutzer auf jetzt zu aktualisieren kritische Sicherheitslücken zu aktualisieren

White House ernennt ersten Chief Information Security Officer