Linux E X P R E S,

S předstihem několika dnů jsme se dozvěděli, že bude 9. července vydána verze OpenSSL opravující vážnou bezpečnostní chybu. Nyní jsou tu podrobnosti, chyba umožňuje útočníkovi vydávat se za důvěryhodný server.

Firma Amazon vyvíjí vlastní implementaci TLS. Má licenci Apache a tvoří ji pouhých 6000 řádků kódu.

Nové verze knihovny OpenSSL opravují dvanáct bezpečnostních chyb, z toho některé závažné. Doporučuje se aktualizovat co nejdřív.

Nová verze operačního systému OpenBSD již využívá novou knihovnu LibreSSL, která vznikla pročistěním a vylepšením OpenSSL. K dalším novinkám verze 5.6 patří například podpora nového hardwaru nebo vylepšené síťování. Naopak už instalátor nenabízí instalaci z pásky.

Krátce po vydání verze 2.0 knihovny LibreSSL byla v implementaci pro Linux nalezena zranitelnost týkající se generování klíčů. Tvůrci ale tvrdí, že ji reálně zneužít nejde a už byla navíc opravena.

Po nedávném ohlášení LibreSSL je tady další fork knihovny OpenSSL. Tentokrát s ním přišel Google a dal mu pracovní název BoringSSL.

Čerstvě objevená bezpečnostní chyba se týká knihovny GnuTLS, která hraje obdobnou roli jako OpenSSL, byť se používá u menšího počtu aplikací. Vzdálený útočník může vyvolat přetečení bufferu a způsobit tak pád aplikace nebo případně i spustit vlastní kód.

V rámci iniciativy Core Infrastructure Initiative budou podpořeny první projekty: NTP, OpenSSH a OpenSSL. Proběhne také bezpečnostní audit OpenSSL.

Podle průzkumu firmy Netcraft bylo u mnoha serverů zanedbáno důsledné a správné provedení všech kroků, které bylo potřeba provést po odhalení chyby Heartbleed.

Webový prohlížeč Google Chrome obvykle nepoužívá ani jednu z běžných metod kontroly certifikátů, zda nebyly revokovány. Jde svou vlastní cestou.

Navzdory miliardám dolarů tekoucím do svobodného softwaru zůstávají některé významné projekty silně podfinancované. Patří k nim i OpenSSL, kde byla nalezena vážná bezpečnostní chyba. Proto se objevují výzvy, aby firmy podpořily finančně vývoj této důležité technologie.

V knihovně OpenSSL byla objevena závažná chyba, která umožňuje číst z paměti procesu data včetně soukromého klíče. Aktualizujte tedy na opravenou verzi co nejdřív.

Prakticky bez povšimnutí zůstalo napadení webu OpenSSL před několika dny. Útok byl zřejmě veden přes slabá hesla u poskytovatele hostingu.

Připravovaná verze 5.6 webové technologie PHP přinese například novou syntaxi variadických funkcí, lepší vláknovou škálovatelnost nebo podporu pro uploady nad 2 GB.

Nizozemská státní správa bude pro bezpečnou komunikaci používat upravenou verzi OpenVPN.