LibreSSL 2.0.3

Bob Beck ma bejelentette, hogy kiadták a LibreSSL 2.0.3-as verzióját. Benne főként közösségi visszajelzéseken alapuló, portolhatósággal kapcsolatos javítás található.

A bejelentés itt olvasható. Letölthető innen.

Új httpd-je van (lesz) az OpenBSD-nek

Az Apache alaprendszerből való búcsúztatásáról nemrég döntöttek a fejlesztők. Úgy tűnik azonban, hogy az alaprendszer nem marad HTTP kiszolgáló nélkül.

Reyk Floeter egyik újabb commit-je arról árulkodik, hogy egy új httpd(8)-n dolgozik. A munka épp csak elindult. A cél egy minimális funkcionalitást biztosító, statikus weboldalakat kiszolgálni tudó, FastCGI-t támogató és az OpenBSD kódolási irányelveit betartó HTTP szerver létrehozása. Nem cél egy 100%-os nginx vagy az Apache helyettesítő létrehozása.

Egy hét múlva indulhat a netbsd-7 ág

A NetBSD releng csapat nevében Jeff Rizzo nemrég bejelentette, hogy megkezdődött a felkészülés a NetBSD 7.0 kiadási folyamatának elindítása. Ez azt jelenti, hogy körülbelül egy hét múlva, jövő vasárnap (vagy akörül) létrehozzák a netbsd-7 CVS ágat. Az ág létrehozása a béta időszak kezdetét jelöli majd.

Részletek a bejelentésben.

BSD Now 46. epizód – Network Iodometry

A BSD Now egy heti rendszerességgel megjelenő video podcast, amelynek célja a BSD operációs rendszerek népszerűsítése, illetve a már meglevő felhasználók friss BSD-s információkkal, hírekkel való ellátása. A BSD Now egyik műsorvezetője a PC-BSD alapító, vezető fejlesztő Kris Moore. Elérhető a BSD Now 46. epizódja, címe "Episode 046: Network Iodometry".

Meghosszabbították a FreeBSD 9.2 életciklusát

Xin Li múlt héten csütörtökön jelentette be, hogy a FreeBSD 9.2 eléri életciklusa végét 2014. szeptember 30-án. A bejelentésre többen is úgy reagáltak, hogy az EoL időzítése nem éppen szerencsés.

A visszajelzéseket figyelembe vette a Security Team. Dag-Erling Smørgrav ma bejelentette, hogy kitolták a FreeBSD 9.2 életciklusának végét 2014. december 31-ig.

A bejelentés itt olvasható.

Linuxon nem volt biztonságos a LibreSSL PRNG-je, megjelent a 2.0.2-es verzió

A hétvégén a The OpenBSD Foundation részéről Bob Beck bejelentette, hogy elérhető a LibreSSL első (és második) portolható kiadása. A portolható kiadás megjelenésével lehetőség nyílt a LibreSSL nem OpenBSD platformokon - többek közt Linuxon - való használatára is. A 2.0.x-es verziószám ellenére a LibreSSL ezen kiadásai "preview" kiadásnak tekinthetők és nem ajánlottak éles rendszeren való használatra.

A LibreSSL fejlesztők visszajelzéseket vártak a közösségtől. Érkezett is. Andrew Ayer Linux fejlesztő egy blogbejegyzést írt arról, hogy a LibreSSL tesztelése és kódjának vizsgálata során arra a következtetésre jutott, hogy a LibreSSL PRNG-je nem elég robusztus Linuxon és valójában gyengébb mint az OpenSSL-é. Andrew a tesztelés során elő tudott idézni olyan helyzetet, amikor a LibreSSL PRNG-je teljesen egyforma adatot szolgáltatott:

$ cc -o fork_rand fork_rand.c libressl-2.0.1/crypto/.libs/libcrypto.a -lrt 
$ ./fork_rand 
Grandparent (PID = 2728) random bytes = f5093dc49bc9527d6d8c3864be364368780ae1ed190ca0798bf2d39ced29b88c
Grandchild (PID = 2728) random bytes = f5093dc49bc9527d6d8c3864be364368780ae1ed190ca0798bf2d39ced29b88c

Andrew ezt a LibreSSL PRNG-jének katasztrofális hibájaként írta le.

A blogbejegyzés nyomán az Ars Technica egy cikket írt, aminek híre eljutott az OpenBSD közösséghez és Theo de Raadt-hoz is. Az Ars Technica cikke szerint Theo azzal kommentálta Andrew Ayer felfedezését, hogy az általa szimulált helyzet valós kódban sosem fog megtörténni.

Theo de Raadt írta:
It is way overblown. This will never happen in real code.

Ennek ellenére a problémához CVE azonosítót (CVE-2014-2970) rendeltek és patchet készítettek hozzá.

A javítás elkészültével Bob Beck bejelentette, hogy a portolható LibreSSL könyvtárában már megtalálható a 2.0.2-es verzió.

Andrew Ayer a javításra azt írta, hogy vegyes érzései vannak vele kapcsolatban. Szerinte a javítás egy óriási lépés a jó irányba, de még nem tökéletes. A problémával/javításával kapcsolatos beszélgetés a HackerNews-on folyik.