Na stronach projektu OpenSSL została opublikowana nowa wersja szeroko wykorzystywanej biblioteki kryptograficznej. Sprawdźmy co przynosi nowe wydanie.
Ochrona przed Logjam
Pamiętacie atak na protokół wymiany kluczy Diffie-Hellmana (DH), który opisywałem około trzy tygodnie temu? Logjam, bo taką nadano mu nazwę, pozwalał na degradację długości kluczy tymczasowych wykorzystywanych podczas wymiany sekretów metodą DH co w konsekwencji mogło prowadzić do podsłuchania szyfrowanej transmisji danych. Na atak narażone były serwery posiadające wsparcie dla tzw. eksportowych zestawów szyfrów, które operowały na kluczach o długości 512 bitów.
W nowej wersji biblioteki OpenSSL zagrożenie atakiem Logjam wyeliminowano poprzez zwiększenie minimalnej akceptowalnej długości kluczy DH do 768 bitów. Oznacza to, że każda próba zestawienia połączenia TLS z wykorzystaniem kluczy DH mniejszych niż 768 bitów będzie odrzucana. Zapowiedziano także, że w kolejnych wersjach wartość ta zostanie zwiększona do 1024 bitów.
Poprawka dostępna jest do użytkowników wersji 1.0.2 i 1.0.1, odpowiednio są to wersja 1.0.2b i 1.0.1n.
Wśród pozostałych zmian tej wersji znalazło się jeszcze kilka poprawek o których możecie przeczytać tutaj.
Koniec wsparcia dla najstarszych wersji
Nowa wersja OpenSSL wydana została dla każdej z czterech głównych linii i tak użytkownicy wersji :
- 1.0.2 mogą dokonać aktualizacji do wersji 1.0.2b,
- 1.0.1 do 1.0.1n,
- 1.0.0 do 1.0.0s,
- 0.9.8 do 0.9.8zg.
Ważną informacją o której przypomniano podczas tego wydania jest to, że wraz z końcem roku 2015 zakończone zostanie wsparcie dla OpenSSL w wersji 0.9.8 i 1.0.0. Oznacza to, że od roku 2016 żadne poprawki bezpieczeństwa nie będą już dla nich udostępniane. Użytkownikom korzystającym z tych najstarszych wersji radzi się aktualizację do nowszych.