휴대용 LibreSSL은 황금 시간대로 프로젝트 인치로 나타납니다.

주말 동안, 휴대용 LibreSSL 패키지의 첫 번째 버전과 두 번째 버전이 OpenBSD Foundation에 의해 발표되었습니다.

LibreSSL의 2.0.x 시리즈는 Linux, Solaris, Mac OS X 및 FreeBSD의 “다양한 버전”이 현재 지원되는 OpenBSD 이외의 운영 체제에서 실행되는 것을 공식적으로 지원하는 최초의 버전입니다.

OpenBSD Foundation의 이사이자 OpenBSD 개발자 인 Bob Beck은 “이것은 커뮤니티가 커뮤니티를 사용하고 피드백을 제공 할 수있게하는 초기 릴리스를위한 것”이라고 말하면서 “시간과 자원이 허용하는 한 다른 플랫폼에 대한 지원을 추가 할 예정입니다.

라이브러리가 새로운 운영 체제에 대한 지원을 얻었지만 아직 OpenSSL을 대체 할 준비가되지 않았으며 OpenBSD Foundation이이를 지향합니다.

젠투 개발자 인 Johannes “Hanno”Böck는 주말 동안 LibreSSL 용 OpenSSL을 전환하는 과정을 상세히 설명했습니다. 외부 사용자에게는 시스템이 거의 동일하게 나타 났지만 내부적으로 작동하는 시스템을 갖기 위해 여전히 많은 루프가있었습니다.

Bock은 그가 직면 한 가장 흥미로운 문제는 OpenBSD가 개발 한 LibreSSL에 의존하는 OpenSSL을 구축하는 것이 었습니다.

이것을 이해하려면 LibreSSL과 OpenSSH가 어떻게 개발되었는지를 이해해야합니다. “Böck는 OpenBSD에서 왔으며 거기에서만 사용 가능한 일부 기능을 사용합니다. 이들을 다른 시스템에서 빌드 할 수 있도록하기 위해 누락 된 OpenBSD 전용 기능을 제공하는 휴대용 버전을 릴리스합니다. 그 중 하나는 arc4random ()입니다.

LibreSSL과 OpenSSH는 arc4random ()의 호환성 버전을 제공합니다. OpenSSH에서 나온 함수는 OpenSSL의 함수 인 RAND_bytes ()를 호출합니다. 그러나 LibreSSL의 RAND_bytes () 함수는 arc4random ()을 호출합니다. 연결 순서 때문에 OpenSSH는 자체 arc4random ()을 사용합니다. 그래서 우리가 여기에있는 것은 좋은 재귀입니다. arc4random ()과 RAND_bytes ()는 서로를 호출하려고합니다. 결과는 segfault입니다.

Bock은 LibreSSL의 arc4random.c 파일을 OpenSSH로 복사하는 것이 었습니다. OpenSSH는 “놀라 울 정도로 잘”작동하고 많은 수정 및 패치를 거친 후 LibreSSL 만 사용한 테스트 시스템을 사용할 수있었습니다.

OpenBSD 팀은 OpenSSL을 포크로 만들고 OpenSSL의 소스 코드를 본 후 LibreSSL을 만든다고 결정을 내렸고 Heartbleed 버그가 공개되었습니다.

벡 (Beck)은 5 월에 제공된 LibreSSL 프로젝트의 상태 업데이트에서 자신의 커스텀 메모리 할당자를 생성하기로 한 OpenSSL 개발자의 결정 인 OpenSSL을 포크 화하기를 촉구했다. 구현 않았다.

“기본적으로 malloc은 일부 플랫폼에서 느린 것으로 판단 했으므로 malloc이 어디서나 느린 것으로 가정 해 봅니다.”라고 Beck이 말했습니다.

혁신, M2M 시장 침체 브라질, 보안, FBI가 Crackas 회원을 체포하여 미국 공무원 해킹에 대한 태도, 보안, WordPress는 사용자가 중요한 보안 구멍을 고치기 위해 지금 업데이트하도록 촉구 보안, 백악관, 정보 보안 담당자

아무 것도 풀어주지 않고 객체를 재사용하는 자체 캐시를 구현합시다. 객체를 재사용하는 방법은 선입 선출 큐를 유지하는 것입니다. 따라서 실제로 자유 사용 후 작업을 수행하는 경우 해당 객체가 여전히 존재할 가능성이 큽니다.

사실, 당신이 무언가를 풀어서 즉시 사용한다면, 그 것이 여전히 존재하며, 당신이 그것을 풀어도 상관 없다는 것이 거의 확실합니다.

벡 (Beck)은 커스텀 할당 자 (Custom allocator)가 Heartbleed를 “훨씬 더 나쁘게”만들었고 공격을 탐지하기 어렵도록 “잘 설계 할 수 없었기 때문에”매우 효과적인 exploit mitigation technique 대응책이라고 말했다.

? M2M 시장은 브라질에서 다시 반송

FBI, 미국 정부 관료 해킹에 대한 태도로 Crackas 회원을 체포

WordPress는 사용자가 중요한 보안 취약점을 수정하기 위해 지금 업데이트하도록 촉구합니다.

백악관, 연방 정보 보안 책임자 (Federal Chief Information Security Officer) 선임