LibreSSL 2.3.3
LibreSSL 2.3.3 est disponible depuis le 22 mars 2016. Ce projet, démarré par des développeurs d’OpenBSD, vise à proposer une alternative sécurisée et moderne à OpenSSL, suite notamment aux failles Heartbleed et Poodle.
OpenBSD 5.7 « Blues Brothers »
Le premier mai, OpenBSD est de sortie, comme chaque année.
OpenBSD est un système d'exploitation orienté sécurité et réseau, dont les principaux avantages sont la stabilité, grâce aux audits sur le code source, mais également l'ensemble très large de fonctionnalités réseau qu’il fournit.
Le changement majeur de cette version est dans la continuité du fork d’OpenSSL, LibreSSL (cf. Bob Beck, LibreSSL - The first 30 days and the Future, BSDcan 2014 ; Ted Unangst, LibreSSL: More Than 30 Days Later, EuroBSDCon 2014). En effet, neuf jours après la sortie d'OpenBSD 5.6, la vulnérabilité POODLE a pointé son nez. Adieu SSL 3, SSH 1 et MD5 !
Ont contribué à cette dépêche (par ordre de dispersion) : BAud, karchnu, Loïc Blot, Xavier Teyssier, palm123, zurvan, Cédric Krier, Rolinh, Xavier Claude, Ellendhel, Dareg, Nÿco, Stéphane Aulery. Aucune moule n'a été blessée durant la rédaction.
LibreSSL 2 est bien lancé
Suite à la découverte des failles sur OpenSSL, les développeurs d’OpenBSD ont publié les premières versions de leur fork LibreSSL : d’abord la 2.0.0 le 11 juillet 2014, puis la 2.1.0 le 12 octobre et la 2.1.1 le 16 octobre. Elles sont disponibles sur leur site FTP.
Les buts sont de moderniser la base de code, améliorer la sécurité, et appliquer les bonnes pratiques de développement (modernizing the codebase, improving security, and applying best practice development processes).
Plusieurs projets ont déjà cherché à remplacer OpenSSL. Par exemple, LibreSSL est censé fonctionner sous GNU/Linux, Solaris, Mac OS X ou FreeBSD.
OpenBSD 5.6
Mois de novembre oblige, une nouvelle version d'OpenBSD est publiée. Nous sommes désormais en version 5.6.
OpenBSD est un système d'exploitation orienté sécurité et réseau, dont les principaux avantages sont la stabilité, grâce aux audits sur le code source, mais également l'ensemble très large de fonctionnalités réseau qu'il fournit. L'équipe d'OpenBSD s'est notamment illustrée cette année par son fork d'OpenSSL, LibreSSL
Journal LibReSLL déjà dans les bacs !
LibReSSL sapusaypaportable ? plus maintenant, LibReSSL, le fork d'OpenSSL par les développeurs d'OpenBSD est sortie en version portable ! C'est sensé marcher sous Linux, Solaris, Mac OSX et FreeBSD.
Via Undeadly.
Les journaux LinuxFr.org les mieux notés du mois de mai 2014
LinuxFr.org propose des dépêches et articles, soumis par tout un chacun, puis revus et corrigés par l'équipe de modération avant publication. C'est la partie la plus visible de LinuxFr.org, ce sont les dépêches qui sont le plus lues et suivies, sur le site, via Atom/RSS, ou bien via partage par messagerie instantanée, par courriel, ou encore via médias sociaux.
Ce que l’on sait moins, c’est que LinuxFr.org vous propose également à tous de tenir vos propres articles directement publiables, sans validation a priori des modérateurs. Ceux-ci s'appellent des journaux. Voici un florilège d'une dizaine de ces journaux parmi les mieux notés par les utilisateurs… qui notent. Lumière sur ceux du mois de mai passé.
- Des nouvelles de LibreSSL par efournie ;
- Mozilla fait avancer le web et ajoute les DRM à Firefox par BohwaZ ;
- TrueCrypt, la fin ? par Tonton Benoit ;
- Occupy Hollywood : libérer l’homme et son outil de travail par Thomas DEBESSE ;
- Computrace, une backdoor pour votre plus grand bien par kwak ;
- Seccomp, une sandbox intégrée au noyau Linux… par Pinaraf ;
- \BlueLaTeX reloaded sort en bêta ! par Lucas ;
- Licences OEM et vente liée : les Linuxiens ne sont pas les seuls concernés. par totof2000 ;
- De Xfce à KDE, merci Gnome… par xcomcmdr ;
- La novlangue fait son entrée dans Django par rzx.
Journal Des nouvelles de LibreSSL
Dans une présentation informative et de bon goût, Bob Beck fait le point sur les raisons qui ont poussé les développeurs OpenBSD à débuter le nettoyage complet du code d'OpenSSL sous le nom de LibreSSL:
http://www.openbsd.org/papers/bsdcan14-libressl/
On y apprend, entre autres:
- Que la goute qui a fait déborder le vase n'était pas Heartbleed mais le remplacement pourri de malloc().
- Que la fondation OpenSSL est une organisation à but lucratif qui génère des gains de l'ordre du million de dollars par (…)
Les journaux LinuxFr.org les mieux notés du mois d'avril 2014
LinuxFr.org propose des dépêches et articles, soumis par tout un chacun, puis revus et corrigés par l'équipe de modération avant publication. C'est la partie la plus visible de LinuxFr.org, ce sont les dépêches qui sont le plus lues et suivies, sur le site, via Atom/RSS, ou bien via partage par messagerie instantanée, par courriel, ou encore via médias sociaux.
Ce que l’on sait moins, c’est que LinuxFr.org vous propose également à tous de tenir vos propres articles directement publiables, sans validation a priori des modérateurs. Ceux-ci s'appellent des journaux. Voici un florilège d'une dizaine de ces journaux parmi les mieux notés par les utilisateurs… qui notent. Lumière sur ceux du mois d'avril passé.
- Heartbleed : petit best of des journalistes par Perdu ;
- OpenSSL est mort, vive (le futur) LibreSSL par rakoo ;
- Systemd vs Linux, quand l'intransigeance d'un développeur tourne au ridicule… par dcp ;
- vers un fork d'OpenSSL ? par anaseto ;
- La communauté francophone OpenSUSE endeuillée par la mort de Jluce par Samuel Pajilewski ;
- Host@home : faciliter l'auto-hébergement par Thuban ;
- Il y a 30 ans aujourd'hui que le CPC 464 est sorti par finss ;
- The Timeless hacke ta machine et ton cerveau par Thomas DEBESSE ;
- Canonical abandonne Ubuntu One par gnumdk ;
- Microsoft libère leur compilateur C# par efournie.
Journal OpenSSL est mort, vive (le futur) LibreSSL
Salut les jeunes,
Vous n'êtes pas sans savoir qu'OpenSSL, la librairie plus ou moins standard implémentant les protocoles SSL/TLS, a récemment fait beaucoup parler d'elle pour un bug extrêmement grave. La librairie n'en était pas à son premier coup, elle a déjà fait parler d'elle à plusieurs reprises par le passé par sa piètre qualité (j'ai pas vu moi-même, je ne fais que rapporter ce que j'entends sur la toile).
Journal journal bookmark : vers un fork d'OpenSSL ?
Bonjour Nal,
je t'écris pour te faire part d'un possible fork d'OpenSSL par les développeurs d'OpenBSD qui ont démarré depuis quelques jours un nettoyage complet.
Entre autres :
- suppression des fonctionnalités heartbeat qui ont conduit au bug de la semaine dernière;
- suppression de beaucoup de code cryptographique en trop;
- suppression de wrappers autour de fonctions standard, en particulier pour malloc qui entravait des techniques de mitigation d'exploit
et autres nettoyages divers (cf premier lien), ce qui vu de loin (…)