Dopo uno sviluppo durato 11 anni ed una beta di 12 mesi è arrivata finalmente la versione 1.0.0 di OpenSSL.
La lista dei cambiamenti è molto lunga con nuove funzionalità, migliorie ed il supporto per l’algoritmo Whirlpool. Quest’ultimo è un’alternativa ai più famosi MD5 o SHA-1. È stato aggiunto anche GOST, un algoritmo di origine russa e simile al DES.
Il formato per il salvataggio delle chiavi private ora è PKCS#8. Gli sviluppatori consigliano vivamente di passare a questa versione quanto prima, anche perché fino alla penultima versione 0.9.8m è presente una vulnerabilità che può far andare in crash i client o server con un pacchetto TLS forgiato appositamente.
Via | OpenSSL
In questi giorni è stata rilasciata l’ennesima versione stabile di Tor, l’applicazione per il browsing anonimo (o, quasi) in rete: Tor 0.2.1.21 risolve alcuni problemi legati alla connettività via SSH riscontrati su sistemi UNIX/Linux. La release è considerata stabile ed è disponibile per il download su tutte le piattaforme.
Secondo il changelog completo sono stati risolti alcuni bug relativi alla negoziazione con OpenSSL – che comunque richiede che Tor certifichi di utilizzare il protocollo SSL in maniera sicura per funzionare – ed è stato corretto anche il problema relativo all’upload di un numero elevato di byte, che causava il crash dell’applicazione.
A cambiare sono anche i certificati d’autenticità (per cui Tor sottolinea che sia il caso di rileggerne i termini, essendo stati modificati dall’ultimo consenso accertato). Altri bugfix minori riguardano le singole versioni del client e la compilazione su Fedora 12 — che non dovrebbe più dare problemi di sorta.
Uno dei toolkit fondamentali per quello che riguarda la sicurezza di server unix-like, OpenSSL ha finalmente raggiunto la beta per la versione 1.0.0. La nuova versione è stata rilasciata con l’indicazione per la comunità di testarla il più possibile e di condividerne i bug e le criticità.
Per quello che riguarda le novità, di seguito una breve lista di queste:
Maggiori dettagli sulle modfiche di questa nuova versione sono reperibili scaricando e scompattando i sorgenti nel file di CHANGES; il tutto è reperibile sulla pagina di download di OpenSSL.
Via | Linux Magazine
Segnalata una vulnerabilità, legata ad OpenSSL, che interesserebbe Ubuntu 8.04 LTS e le relative versioni di Kubuntu, Edubuntu e Xubuntu.
Maggiori dettagli sono disponibili sul sito ufficiale della distribuzione.
In tema di pacchettizzazione possiamo distinguere le distribuzioni che preferiscono lasciare inalterati i pacchetti da quelle che optano per una personalizzazione massiccia degli stessi. La personalizzazione dei sorgenti non è di per sé un problema ma, quando la modifica introduce una grave vulnerabilità, gli effetti di tale decisione ricadono anche su tutte le distribuzioni derivate.
Questo è quanto accaduto al pacchetto openssl in Debian, modificato da uno sviluppatore per correggere un errore riscontrato durante l’analisi con Valgrind. Peccato che la modifica abbia reso vulnerabili tutte le chiavi crittografiche generate su un’installazione di Debian Etch (e derivate).
A seguire, le conseguenze in dettaglio e le soluzioni al problema.
Dopo un lungo e arduo percorso che lo scorso anno ha incluso anche una sospensione della validità della certificazione, l’OSSI ha annunciato che OpenSSL ha riottenuto la certificazione FIPS 140-2 ed ora è anche disponibile al download.
Il processo di convalida, che dura normalmente alcuni mesi, ha impiegato cinque anni per essere completato, soprattutto a causa di numerosi vendor commerciali che hanno cercato con tutti i mezzi di estromettere dal mercato OpenSSL ( la risposta ad ogni obiezione ha rallentato vistosamente il processo di validazione ); l’accusa più sconcertante che ho letto era relativa al fatto che alcune parti del progetto fossero costituite da “Commie code” ( sorgenti comunisti ), secondo la logica “sviluppatore russo = sviluppatore comunista”…
Il team di OpenSSL sembra però fiducioso circa la possibilità di riuscire ad evitare, in futuro, processi di certificazione così inutilmente lunghi. Noi non possiamo che augurargli buona fortuna.
[ via OSNews ]
ossblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, chi siamo
© 2004-2011 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Ossblog.it contattare la concessionaria esclusiva Populis Engage.
