LibReSSL sapusaypaportable ? plus maintenant, LibReSSL, le fork d'OpenSSL par les développeurs d'OpenBSD est sortie en version portable ! C'est sensé marcher sous Linux, Solaris, Mac OSX et FreeBSD.
Via Undeadly.
LibReSSL sapusaypaportable ? plus maintenant, LibReSSL, le fork d'OpenSSL par les développeurs d'OpenBSD est sortie en version portable ! C'est sensé marcher sous Linux, Solaris, Mac OSX et FreeBSD.
Via Undeadly.
# ...et sa première faille de sécurité aussi
Posté par patate . Évalué à 6.
https://www.agwa.name/blog/post/libressls_prng_is_unsafe_on_linux
En résumé, il y a un risque qu'un appel à RAND_bytes renvoie la même valeur dans deux process forkés.
Cela dit, le problème semble simple à corriger et relativement minime en regard des multitudes de bugs (potentiels ou exploités) de OpenSSL.
[^] # Re: ...et sa première faille de sécurité aussi
Posté par neil . Évalué à 6.
Corrigé et releasé.
# OpenSSL forké également par Google
Posté par jean-michel.bertrou.eu . Évalué à 7.
Je suis tombé sur un article d'un ingénieur de Google qui annonce qu'ils vont maintenir leur propre branche/fork d'open ssl.
Yet Another Fork, pourquoi ?
Jusqu'ici, Google devait maintenir pas moins de 70 patches différents par rapport à la version d'openssl qui acceptait très peu de choses étant donné les contraintes fortes qu'ils se mettaient en terme de compatibilité source et binaire. La situation était un peu ingérable pour Google qui devait maintenir ses 70 patches à part à chaque fois que le projet openssl mère était mis à jour. Et Google n'a pas les contraintes qu'a openssl, ni même libressl : pour eux avoir une faille de sécurité dans leurs produits ayant des centaines de millions d'utilisateur est un problème bien plus énorme que de devoir passer un coup de fil pour demander aux développeurs de Android AOSP et Chromium de mettre à jour le code source et recompiler en fonction du changement qu'ils viennent d'implémenter.
Du coup ils changent de modèle : tous les projets Google vont migrer vers BoringSSL, et Boring SSL s'occupera de réintégrer et de synchroniser les patches pertinents avec OpenSSL ou LibreSSL
https://www.imperialviolet.org/2014/06/20/boringssl.html
https://boringssl.googlesource.com/boringssl/
[^] # Re: OpenSSL forké également par Google
Posté par Okki (site web personnel, Mastodon) . Évalué à 8.
Next INpact avait publié un article en français sur le sujet, Google officialise sa propre implémentation d'OpenSSL : BoringSSL.
# LibreSSL on Gentoo
Posté par patrick_g (site web personnel) . Évalué à 10.
Un article pas mal de Hanno Böck qui explique ce qu'il a du faire pour faire marcher LibreSSL sur sa Gentoo :
https://blog.hboeck.de/archives/851-LibreSSL-on-Gentoo.html
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.