Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Meuktracker » Software updates » OpenSSL 1.0.0c / 0.9.8q

OpenSSL 1.0.0c / 0.9.8q

Door Japke Rosink, woensdag 8 december 2010 08:55
Bron: OpenSSL, views: 2.366

OpenSSL is een bekend beveiligingsprogramma dat encryptiefuncties aanbiedt. Het bevat een implementatie van de tls- en ssl-protocollen, waarmee data versleuteld kan worden verstuurd en ontvangen. Voor meer informatie verwijzen we door naar deze pagina. De ontwikkelaars hebben nieuwe versies uitgebracht met 1.0.0c en 0.9.8q als versieaanduidingen. De bijbehorende lijst met veranderingen sinds de vorige vermelding in de Meuktracker ziet er als volgt uit:

Changes between 1.0.0b and 1.0.0c:
  • Fixed J-PAKE implementation error, originally discovered by Sebastien Martini, further info and confirmation from Stefan Arentz and Feng Hao. Note that this fix is a security fix. CVE-2010-4252 [Ben Laurie]
Changes between 1.0.0a and 1.0.0b
  • Fix extension code to avoid race conditions which can result in a buffer overrun vulnerability: resumed sessions must not be modified as they can be shared by multiple threads. CVE-2010-3864
  • Fix WIN32 build system to correctly link an ENGINE directory into a DLL. [Steve Henson]


Changes between 0.9.8p and 0.9.8q:
  • Disable code workaround for ancient and obsolete Netscape browsers and servers: an attacker can use it in a ciphersuite downgrade attack. Thanks to Martin Rex for discovering this bug. CVE-2010-4180 [Steve Henson]
  • Fixed J-PAKE implementation error, originally discovered by Sebastien Martini, further info and confirmation from Stefan Arentz and Feng Hao. Note that this fix is a security fix. CVE-2010-4252 [Ben Laurie]
Changes between 0.9.8o and 0.9.8p:
  • Fix extension code to avoid race conditions which can result in a buffer overrun vulnerability: resumed sessions must not be modified as they can be shared by multiple threads. CVE-2010-3864 [Steve Henson]
  • Fix for double free bug in ssl/s3_clnt.c CVE-2010-2939 [Steve Henson]
  • Don't reencode certificate when calculating signature: cache and use the original encoding instead. This makes signature verification of some broken encodings work correctly. [Steve Henson]
  • ec2_GF2m_simple_mul bugfix: compute correct result if the output EC_POINT is also one of the inputs. [Emilia Käsper]
  • Don't repeatedly append PBE algorithms to table if they already exist. Sort table on each new add. This effectively makes the table read only after all algorithms are added and subsequent calls to PKCS12_pbe_add etc are non-op. [Steve Henson]

WebsiteOpenSSL
Downloadhttp://www.openssl.org/source/
Volgende 08:57 Realtek HD Audio 2.55
Vorige 08:44 Miranda IM 0.9.12

Details

Versienummer1.0.0c / 0.9.8q
ReleasestatusFinal
BesturingssystemenAIX, FreeBSD, HPUX, Irix, Linux, Mac OS X, OpenBSD, Solaris, Windows 2000, Windows 7, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP
WebsiteOpenSSL
Downloadhttp://www.openssl.org/source/
LicentietypeVoorwaarden (GNU/BSD/etc.)

Gerelateerde producten

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 8 reacties zichtbaar80 Off-topic / Irrelevant: 7 reacties zichtbaar7+1 On-topic: 6 reacties zichtbaar6+2 Informatief: 0 reacties zichtbaar0+3 Spotlight: 0 reacties zichtbaar0

Door i-chat, woensdag 8 december 2010 15:21

Score: 1
een van de grootste nadelen van ssl,

1 een vast ip nodig (kortom dat wordt wachten op ipv6),
2 een groot geld bedrag om een key autoriteit over te halen je een sleutel te verstrekken,
zelf gesignede codes zijn bijna niet bruikbaar (heb ik het idee?) en om nu voor een niet-commerciele site toch ssl in te zetten wordt gewoon te duur terweil voor bijv een forum de meerwaarde van ssl naar mijn idee wel degelijk nuttig zouden zijn...

is er nu geen 'andere' manier?

[Reactie gewijzigd door i-chat op woensdag 8 december 2010 15:22]

Door s.stok, woensdag 8 december 2010 16:00

Score: 1
Duur? Bij Xolphin heb je een RapidSSL certificaat voor 12 euro (exclusief btw) per jaar.

De reden waarom je een vast IP nodig hebt is omdat het werkt in de netwerk laag, voordat HTTP word gesproken. De server bepaald bij name-virtualhosts de site door middel van het 'Host' veld in de aanvraag headers.

Bij HTTPS word verbinding gemaakt, word er aan beide kanten afgesproken dat de verbinding moet worden versleutelt (SSL Handshake) en gaan daarna pas HTTP spreken. Maar omdat de naam niet vanaf het begin duidelijk is weet de server niet welke host hij moet hebben, daarom is een uniek IP-adres nodig.

TLS (opvolger van SSL) heeft deze problemen gelukkig niet meer, maar dat word helaas nog te weinig gebruikt voor HTTP. Hoewel voor zover ik weet de ondersteuning goed genoeg is.

Door DotHack, woensdag 8 december 2010 17:57

Score: 1
Er bestaat ook een technologie die SNI (Server Name Indication) heet voor Apache. Ik weet niet of deze er is is IIS?

Daardoor kunnen er meerder ssl vhosts op 1 ip gedraaid worden!

Door SlaSauS, woensdag 8 december 2010 19:53

Score: 1
Klopt, alleen het grote nadeel van SNI is dat het niet door Internet Explorer (6, 7 en 8) op Windows XP wordt ondersteund waardoor je het in de praktijk helaas voor veel publieke websites nog niet in kunt zetten.

http://en.wikipedia.org/wiki/Server_Name_Indication#Support

Door i-chat, donderdag 9 december 2010 01:44

Score: 0
die 12 euro per jaar zijn de kosten niet die 12 euro per maand per ip vaak wel,

en soms zijn er ook andere redenen waarom een vast ip minder berijkbaar is, er zijngenoeg shared hosting providers die alleen 'de dure' certs gebruiken, (tot tig euro per maand), andere providers gebruiken juist helemaal geen ssl omdat ze name based vhosts gebruiker,

natuurlijk voor een webshop (hoe klein ook) is die 12 euro een prikkie, maar het zou beter zijn als elk forum (waar je een wachtwoord voor invult en info naar verstuurt) een SSL beveiliging zou bieden...

dat maakt het hele wep (incl open accesspoints, een stuk veiliger...

Door Henkje.doc, woensdag 8 december 2010 17:53

Score: 1
Goede, gratis tool en ideale aanvulling op IIS6/7. Vandaag nog gebruikt om een self signed certiifcate te maken met sha-256 encryptie :).

Enige waar je altijd rekening mee moet houden is dat als je met CSP's in de weer gaat de retourondertekende berichten in PEM formaat moeten zijn. Het Windows (DER) formaat vindt hij minder lekker.

Door latka, woensdag 8 december 2010 19:16

Score: 1
<miereneukmode>Sha-256 hashing bedoel je. Hashes zijn niet reversible, encryptie wel (hopelijk)</miereneukmode>

Op dit item kan niet meer gereageerd worden.

Volgende 08:57 Realtek HD Audio 2.55
Vorige 08:44 Miranda IM 0.9.12
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011