在OpenBSD创建OpenSSL分支LibreSSL两个月后,Google宣布了它创建的OpenSSL分支BoringSSL。Google安全团队的Adam Langley在个人博客上说,他们使用了超过70个OpenSSL补丁,部分被接受合并到了OpenSSL主库,但大部分没有。
随着Android、Chrome和其它项目开始需要这些补丁的子集,事情日益变得复杂,要保证所有补丁在不同代码库正常工作需要太多精力。所以他们决定创建OpenSSL分支。
但Google不打算取代OpenSSL,使用BoringSSL的代码不能保证API或ABI的稳定性,他们会继续向 OpenSSL递交bug修正,继续资助Core Infrastructure Initiative和OpenBSD基金会。OpenBSD创始人Theo de Raadt对此表示,有选择总是好的。
OpenSSL项目披露了多个新安全漏洞,包括允许中间人攻击的漏洞和允许执行代码的漏洞。其中中间人攻击漏洞与ChangeCipherSpec(CCS)实现不正确有关,它在OpenSSL 1998年发布的早期版本中就已经存在,至今已有16年历史,影响目前的所有版本,但严重程度并不高,因为攻击者拦截和解密加密流量需要客户端和服务器端都运行存在漏洞的OpenSSL,而浏览器并不包含OpenSSL。
该漏洞的发现者是日本研究员Masashi Kikuchi,他在博客上介绍了发现经过,认为OpenSSL项目存在一个超过16年的漏洞的最主要原因是代码审查不充分,缺乏有经验的TLS/SSL专家。
Continue reading »
A vulnerability in OpenSSL, nicknamed Heartbleed, was published in April 2014 1. OpenVPN uses OpenSSL as its crypto library by default and thus is affected too.
An attacker can trick OpenSSL into returning a part of your program memory. That memory contains your session keys (the keys used to encrypt your data), and usually your master secret key too. If your OpenVPN is or has been vulnerable to heartbleed you should consider your keys, and the traffic over the VPN tunnel, compromised.
Your OpenVPN is affected when your OpenVPN is linked against OpenSSL, versions 1.0.1 through 1.0.1f.
This is very likely. On 16th April 2014 a mail was sent to openvpn-user list by Fredrik Strömberg, who claimed the following: Continue reading »
OpenSSL高危漏洞Heartbleed的曝光,终于促使受益于开源项目的科技巨头展开行动,提供资金资助这些已成为互联网基础设施一部分的开源项目的开发和维护。亚马逊、思科、戴尔、Facebook、富士通、Google、IBM、英特尔、微软、NetApp、高通、Rackspace和VMWare等成立了Core Infrastructure Initiative, 识别和资助在核心计算设备和网络功能中广泛使用的开源项目。
此举是为了回应Heartbleed危机,OpenSSL加密库将是首批获得资助的项目,其它 重要的开源项目将会随后获得资助。资金将由Linux基金会和一个指导委员会管理,指导委员会成员包括了这些提供资金的企业、重要的开源开发者和行业利益 攸关者。 Continue reading »
全世界有无数公司依赖于开源加密库OpenSSL,其中不乏思科和雅虎这样的科技巨头。但如此重要的一个项目它每年获得的捐款却是少的可怜,连一名美国普通程序员的薪水都支付不起。OpenSSL软件基金会董事长兼联合创始人Steve Marquess在邮件列表上透露, OpenSSL项目通常一年只收到2000美元捐款。
本周公开的Heartbleed高危漏洞增加了OpenSSL的曝光度,基金会收到了约200次捐款,总额约3000美元,捐款金额从0.02到300美元不等,其中有人多次捐款。他表示,所有的捐款将直接提供给OpenSSL项目团队。
今天在邮件列表里看到 John Nagle (就是发明 TCP Nagle 算法的 那个 John Nagle)提到希望 OpenSSL 提供一些帮助自动检测中间人攻击的 方法。 简单地说,因为中间人攻击会改变双方看到的加密流(密钥变了),因此,如果上层协议包含了加密流的某些特征,攻击者想要实施中间人攻击的成本就会大大增加。
他同时举了一个例子,一种早期的加密电话会在话机上显示从密文开始的部分计算的两位数字,而通话双方则通过通话来确认数字相同,这样,中间人攻击的实 施者就必须解析语音并替换掉相关的字词来避免被发现。 Continue reading »
在安裝有些套件時,如果有相依於 OpenSSL 時,且判斷系統目前使用的 OpenSSL 版本有漏洞問題時,會出現如下的訊息:
Dependency warning: used OpenSSL version contains known vulnerabilities
Please update or define either WITH_OPENSSL_BASE or WITH_OPENSSL_PORT
一般建議的解決方法有二種。
第一種:升級系統(需含系統內建之 OpenSSL 一併升級),再安裝該套件
可以先查詢目前系統所用之 OpenSSL 的版本:
openssl version -v
升級系統可參考 FNP: upgrade core system 或 FNP: upgrade major system。
升級完系統後,再進行一次 OpenSSL 版本之確認。
然後再安裝該套件,這訊息就不會出現了。
第二種:使該套件相依於 ports tree 中的 OpenSSL
這種方法會安裝 ports tree 中新版本的 OpenSSL,然後相依於此新版本的 OpenSSL,而不是系統本身內建的 OpenSSL。只要安裝套件時,加入 WITH_OPENSSL_PORT 的參數,即會安裝 ports tree 中的 OpenSSL,並且該套件也會相依於此。方法如下:
make -DWITH_OPENSSL_PORT install
這裡不建議用參數 WITH_OPENSSL_BASE,因為這表示安裝套件時,是相依於原本系統中可能有漏洞的 OpenSSL,這樣會導致安全性的問題。