Software::Security
LibreSSL entfernt SSLv3
Mit der Freigabe der Version 2.2.2 haben die Entwickler des OpenSSL-Forks LibreSSL das System weiter verbessert. Unter anderem haben sie SSLv3 vollständig entfernt.
libressl.org
LibreSSL entstand als Reaktion auf den
Heartbleed-Fehler von OpenSSL. Die OpenBSD-Entwickler haben sich daraufhin die Quellen der Lösung näher angeschaut und sie als »unwartbar«, in weiten Teilen obsolet und unnötig kompliziert erachtet. Als Konsequenz daraus entstand
ein Fork der Bibliothek unter dem Namen LibreSSL, der ähnlich wie OpenSSH in zwei Editionen herausgegeben wird: Eine für OpenBSD und eine portable Edition für andere Betriebssysteme. Letztere wurde jetzt in der ersten
Version 2.2.2 veröffentlicht.
Die wohl größte Neuerung der aktuellen Version ist die Entfernung der Version 3.0 von SSL (SSLv3). Folgerichtig wurden in der neuen Version auch alle Workarounds entfernt, die SSLv3 betrafen – darunter diverse Anpassungen für Browser. Anwendungen, die weiterhin die anfällige Funktionalität nutzen, werden beim Linken mit der neuen Version der Bibliothek eine Warnung erhalten. Laut Aussage der Entwickler befindet sich das Team in Kontakt mit den betroffenen Projekten.
Weitere Neuerungen der Version 2.2.2 sind Korrekturen von gefundenen Fehlern und diverse kleinere Verbesserungen. So wurde unter anderem die Optionsbehandlung von openssl komplett umgeschrieben, und zahlreiche Fehler, Unstimmigkeiten und Speicherprobleme wurden behoben. Ebenso haben die Entwickler die im Zuge einer Coverity-Analyse gefundenen Fehler und zahlreiche »tote«-Stellen im Code aus der Bibliothek hinausbefördert. Zudem wurde die RSAX-Engine entfernt.
Eine Liste aller Neuerungen und Änderungen kann dem Changelog der neuen Version entnommen werden. Die Quellen von LibreSSL können ab sofort auf der Seite des Projektes gefunden werden.