Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 9 reacties
Bron: Fabrikant, submitter: LollieStick

OpenSSL is een bekend securityprogramma dat encryptiefuncties aanbiedt. Het bevat een implementatie van het tls- en het ssl-protocol, waarmee data versleuteld verstuurd en ontvangen kan worden om bijvoorbeeld eavesdropping te voorkomen. Voor meer informatie verwijzen we jullie door naar deze pagina. De ontwikkelaars hebben een nieuwe versie uitgebracht met 0.9.8l als de versieaanduiding. De lijst met veranderingen sinds de vorige vermelding in de Meuktracker ziet er als volgt uit:

Changes between 0.9.8k and 0.9.8l:
  • Fixes to stateless session resumption handling. Use initial_ctx when issuing and attempting to decrypt tickets in case it has changed during servername handling. Use a non-zero length session ID when attempting stateless session resumption: this makes it possible to determine if a resumption has occurred immediately after receiving server hello (several places in OpenSSL subtly assume this) instead of later in the handshake. [Steve Henson]
  • The functions ENGINE_ctrl(), OPENSSL_isservice(), CMS_get1_RecipientRequest() and RAND_bytes() can return <=0 on error fixes for a few places where the return code is not checked correctly. [Julia Lawall]
  • Add --strict-warnings option to Configure script to include devteam warnings in other configurations. [Steve Henson]
  • Add support for --libdir option and LIBDIR variable in makefiles. This makes it possible to install openssl libraries in locations which have names other than "lib", for example "/usr/lib64" which some systems need. [Steve Henson, based on patch from Jeremy Utley]
  • Don't allow the use of leading 0x80 in OIDs. This is a violation of X690 8.9.12 and can produce some misleading textual output of OIDs. [Steve Henson, reported by Dan Kaminsky]
  • Add compression id to {d2i,i2d}_SSL_SESSION so it is correctly saved and restored. [Steve Henson]
  • Fix the server certificate chain building code to use X509_verify_cert(), it used to have an ad-hoc builder which was unable to cope with anything other than a simple chain. [David Woodhouse, Steve Henson]
  • Don't check self signed certificate signatures in X509_verify_cert() by default (a flag can override this): it just wastes time without adding any security. As a useful side effect self signed root CAs with non-FIPS digests are now usable in FIPS mode. [Steve Henson]
  • In dtls1_process_out_of_seq_message() the check if the current message is already buffered was missing. For every new message was memory allocated, allowing an attacker to perform an denial of service attack with sending out of seq handshake messages until there is no memory left. Additionally every future messege was buffered, even if the sequence number made no sense and would be part of another handshake. So only messages with sequence numbers less than 10 in advance will be buffered. [Robin Seggelmann, discovered by Daniel Mentz]
  • Records are buffered if they arrive with a future epoch to be processed after finishing the corresponding handshake. There is currently no limitation to this buffer allowing an attacker to perform a DOS attack with sending records with future epochs until there is no memory left. This patch adds the pqueue_size() function to detemine the size of a buffer and limits the record buffer to 100 entries. [Robin Seggelmann, discovered by Daniel Mentz]
  • Keep a copy of frag->msg_header.frag_len so it can be used after the parent structure is freed. [Daniel Mentz]
  • Handle non-blocking I/O properly in SSL_shutdown() call. [Darryl Miles]
  • Add 2.5.4.* OIDs [Ilya O.]
Changes between 0.9.8j and 0.9.8k:
  • Don't set val to NULL when freeing up structures, it is freed up by underlying code. If sizeof(void *) > sizeof(long) this can result in zeroing past the valid field. (CVE-2009-0789) [Paolo Ganci]
  • Fix bug where return value of CMS_SignerInfo_verify_content() was not checked correctly. This would allow some invalid signed attributes to appear to verify correctly. (CVE-2009-0591) [Ivan Nestlerode]
  • Reject UniversalString and BMPString types with invalid lengths. This prevents a crash in ASN1_STRING_print_ex() which assumes the strings have a legal length. (CVE-2009-0590) [Steve Henson]
  • Set S/MIME signing as the default purpose rather than setting it unconditionally. This allows applications to override it at the store level. [Steve Henson]
  • Permit restricted recursion of ASN1 strings. This is needed in practice to handle some structures. [Steve Henson]
  • Improve efficiency of mem_gets: don't search whole buffer each time for a '\n' [Jeremy Shapiro]
  • New -hex option for openssl rand. [Matthieu Herrb]
  • Print out UTF8String and NumericString when parsing ASN1. [Steve Henson]
  • Support NumericString type for name components. [Steve Henson]
  • Allow CC in the environment to override the automatically chosen compiler. Note that nothing is done to ensure flags work with the chosen compiler. [Ben Laurie]
Versienummer:0.9.8l
Releasestatus:Final
Besturingssystemen:Windows 7, Windows 2000, Linux, BSD, Windows XP, macOS, Solaris, UNIX, Windows Server 2003, Windows Vista, Windows Server 2008
Website:Fabrikant
Download:http://www.openssl.org/source/openssl-0.9.8l.tar.gz
Bestandsgrootte:3,99MB
Licentietype:Voorwaarden (GNU/BSD/etc.)
Moderatie-faq Wijzig weergave

Reacties (9)

Toch prachtig dat de hele wereld dit al jaren gebruikt en de ontwikkelaars het zelf nog niet vertrouwen: een versie 1 durven ze het nog niet te noemen. Wanneer gaan ze wel naar versie 1.0? of eerst nog wat beta-s en rc's?
Je heb te maken met mensen die met encryp[ty werken. Mensen in dat gebieden moeten per definite paranoia zijn, zoniet zie je dat de software gekraakt wordt.

Verder denk ik dat ze pas het versie nummer veranderen als de software niet meer 100% compatibel is met een andere versie.
En wat precies zegt een versie-nummer over de kwaliteit van de software?
Helemaal niets.

Als jij vindt dat versies 'lager dan 1' niet te vertrouwen zijn: jouw keuze, maar dat zegt compleet niets over de software zelf.

[Reactie gewijzigd door roeleboel op 9 november 2009 15:40]

Door dingen BETA te maken kunnen mensen niet gaan klagen dat het product niet goed werkt.
Wat aan 'Releasestatus Final' snap je niet?
Een versienummer lager dan 1 wil niet per definitie zeggen dat iets in beta is.
Vaak is het zo dat een programma pas versie 1.0 krijgt op het moment dat alle functies die gepland staan voor versie 1.0 aanwezig zijn.
fout is versie nummer is slechts een versie nummer.
Zo is een andere bekende MAME ondertussen over versie 1.0 heen maar dat wil echt niet zeggen dat alles erin zit wat ze willen en wat ze wilden met 1.0

Het is niets meer dan een nummer. Ze kunnen zo overschakelen naar repository nummers en dan komt 1.0 nooit :P
Hun website wordt zo te zien ook al jaaaren gebruikt.... ontwerpje anno 1999?
Vast oud maar degelijk. Betere een goed overzicht dan iets dan er heel gelikt uitziet maar waar je geen overzicht hebt.

Duidelijk voor functionaliteit gekozen, doen wel meer websites.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True