OpenBSD делает переработку OpenSSL — libreSSL

  1. TopicStarter Overlay
    Yuriy
    Offline

    Yuriy Администрация

    Сообщения:
    120
    Симпатии:
    27
    Пол:
    Мужской
    В связи недавней довольно серьёзной уязвимостью Heartbleed протокола Heartbeat в сторонней библиотеке OpenSSL, разработчики OpenBSD приняли решение окончательно переписать библиотеку SSL, удалив несуществующие архитектуры и множество ненужных кодов совместимости, сохранив только API совместимость с upstream OpenSSL.

    Некоторые временно это назвали OpenOpenSSL, т.к. разаработки оригинального OpenSSL производятся вне OpenBSD, но OpenBSD Foundation сейчас представило официальное название — «LibreSSL (the OpenBSD fork of OpenSSL)». Название также можно принимать как «lib-re-ssl» — переработка SSL библиотеки.

    Что же принудило OpenBSD отказаться от сотрудничества с OpenSSL в будущем? Разработчик [email protected] задумал на свежую память описать историю нового libressl:

    • Протокол Heartbeat до сегодняшнего дня так и не использует, тем не менее он был постоянно включён с момента поддержки в OpenSSL несколько лет назад, и не было возможным его выключить без перекомпиляции с OPENSSL_NO_HEARTBEATS. (Теперь поддержка полностью была удалена из OpenBSD libressl.)
    • Изначально предполагалось то, что для отключения Heartbleed в OpenBSD будет достаточно прописать опцию «J» в malloc.conf. Но разработчики OpenSSL специально сделали это невозможным, в связи с чем даже на OpenBSD нужно пересобирать всю библиотеку, чтобы устранить уязвимости Heartbleed.
    • В процессе прохождения тестирования опции «J» с OpenSSL также была выявлена старая ошибка в OpenSSL, о которой разработчики OpenSSL знали уже несколько лет, и даже было простое исправление. Однако команда разработчиков OpenSSL до сих пор не принимает это к сведению. Разработчики OpenBSD, FreeBSD и Debian стали исправлять ошибку без помощи команды OpenSSL.
    Также приняли решение по улучшению читаемость кода в соответствии с style(9) — KNF и удалении всего неиспользуемого кода для упрощения аудита.
    В будущем запланирован выход портативной версии, после окончания периода стабилизации.

Поделиться этой страницей