发布于 2014-12-30 00:29:02 | 195 次阅读 | 评论: 0 | 来源: 网友投递
LibreSSL SSL加密安全套接字库
LibreSSL是OpenSSL加密软件库的一个分支,为一个安全套接层(SSL)和传输层安全(TLS)协议的开源实现。在OpenSSL爆出心脏出血安全漏洞之后,一些OpenBSD开发者于2014年4月创立了LibreSSL,目标是重构OpenSSL的代码,以提供一个更安全的替代品。LibreSSL复刻自OpenSSL库的1.0.1g分支,它将遵循其他OpenBSD项目所使用的安全指导原则。
LibreSSL 2.1.2 之前版本的 d1_srtp.c 文件中的 ssl_parse_clienthello_use_srtp_ext 函数被爆安全漏洞,该漏洞允许远程攻击导致 DoS 拒绝服务,通过在处理 DTLS 握手期间触发某些验证长度的错误。
这两个漏洞的详情可参考:
https://github.com/robertbachmann/openbsd-libssl/commit/62a110d447bb8c16a4c69629e28a42e8c39fd7e0
https://code.google.com/p/google-security-research/issues/detail?id=202
via cvedetails