Journal LibReSLL déjà dans les bacs !

Posté par TeXitoi (site web personnel) le 15 juillet 2014 à 10:13. Licence CC By‑SA.

Étiquettes :

juil.

2014

LibReSSL sapusaypaportable ? plus maintenant, LibReSSL, le fork d'OpenSSL par les développeurs d'OpenBSD est sortie en version portable ! C'est sensé marcher sous Linux, Solaris, Mac OSX et FreeBSD.

Via Undeadly.

# ...et sa première faille de sécurité aussi

Posté par patate le 15 juillet 2014 à 10:41. Évalué à 6.

https://www.agwa.name/blog/post/libressls_prng_is_unsafe_on_linux

En résumé, il y a un risque qu'un appel à RAND_bytes renvoie la même valeur dans deux process forkés.

Cela dit, le problème semble simple à corriger et relativement minime en regard des multitudes de bugs (potentiels ou exploités) de OpenSSL.
- [^] # Re: ...et sa première faille de sécurité aussi
  
  Posté par neil le 16 juillet 2014 à 07:51. Évalué à 6.
  
  Corrigé et releasé.
# OpenSSL forké également par Google

Posté par jean-michel.bertrou.eu le 15 juillet 2014 à 11:40. Évalué à 7.

Je suis tombé sur un article d'un ingénieur de Google qui annonce qu'ils vont maintenir leur propre branche/fork d'open ssl.

Yet Another Fork, pourquoi ?

Jusqu'ici, Google devait maintenir pas moins de 70 patches différents par rapport à la version d'openssl qui acceptait très peu de choses étant donné les contraintes fortes qu'ils se mettaient en terme de compatibilité source et binaire. La situation était un peu ingérable pour Google qui devait maintenir ses 70 patches à part à chaque fois que le projet openssl mère était mis à jour. Et Google n'a pas les contraintes qu'a openssl, ni même libressl : pour eux avoir une faille de sécurité dans leurs produits ayant des centaines de millions d'utilisateur est un problème bien plus énorme que de devoir passer un coup de fil pour demander aux développeurs de Android AOSP et Chromium de mettre à jour le code source et recompiler en fonction du changement qu'ils viennent d'implémenter.

Du coup ils changent de modèle : tous les projets Google vont migrer vers BoringSSL, et Boring SSL s'occupera de réintégrer et de synchroniser les patches pertinents avec OpenSSL ou LibreSSL

There are no guarantees of API or ABI stability with this code: we are not aiming to replace OpenSSL as an open-source project. We will still be sending them bug fixes when we find them and we will be importing changes from upstream. Also, we will still be funding the Core Infrastructure Initiative and the OpenBSD Foundation.

But we’ll also be more able to import changes from LibreSSL and they are welcome to take changes from us. We have already relicensed some of our prior contributions to OpenSSL under an ISC license at their request and completely new code that we write will also be so licensed.

(Note: the name is aspirational and not yet a promise.)

https://www.imperialviolet.org/2014/06/20/boringssl.html
https://boringssl.googlesource.com/boringssl/
- [^] # Re: OpenSSL forké également par Google
  
  Posté par Okki (site web personnel, Mastodon) le 15 juillet 2014 à 12:11. Évalué à 8.
  
  Next INpact avait publié un article en français sur le sujet, Google officialise sa propre implémentation d'OpenSSL : BoringSSL.
# LibreSSL on Gentoo

Posté par patrick_g (site web personnel) le 15 juillet 2014 à 16:37. Évalué à 10.

Un article pas mal de Hanno Böck qui explique ce qu'il a du faire pour faire marcher LibreSSL sur sa Gentoo :

https://blog.hboeck.de/archives/851-LibreSSL-on-Gentoo.html

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.

# ...et sa première faille de sécurité aussi

[^] # Re: ...et sa première faille de sécurité aussi

# OpenSSL forké également par Google

[^] # Re: OpenSSL forké également par Google

# LibreSSL on Gentoo