Tag archives for openssl

开源News

老罗的锤子发布会门票收入再次回馈开源社区

锤子科技在10月18日的新品发布会,老罗除了宣布将开源“One Step”和“Big Bang”外,还决定将发布会的门票收入293万人民币全部回馈开源社区,捐给 OpenSSL基金会和OpenBSD基金会。 老罗15年初的锤子发布会就曾把门票收入捐给 OpenSSL基金会,去年年底的T2发布会则把门票收入捐给国人章亦春的开源项目OpenResty。  
继续阅读

亚马逊开源自用的TLS库

亚马逊在Apache许可证下开源了它的TLS实现库s2n,代码托管在Github上。s2n只有6000多行代码,只相当于OpenSSL的1%多一点。OpenSSL备受人诟病的一点就是代码过于复杂,难以检查和安全评估。亚马逊明确表示会支持OpenSSL,s2n并没有提供额外的加密功能,它只实现了SSL/TLS特性的一个相对小的子集。 信息来源: 
继续阅读

OpenSSL公布蓝图,列出解决问题时间表

OpenSSL项目最近公布了蓝图,描述了它面临的一系列问题和解决问题的时间表。OpenSSL指出,它面临的问题包括bug报告的积累,不完整和不正确的文档,代码复杂性导致的维护问题,不一致的代码风格,缺乏代码审查,没有清晰的发布计划、平台策略或安全策略。 OpenSSL计划修正所有这些问题,但解决问题的时间长度会存在差异,有些问题现在就能办到,如“在四个工作日内对bug报告作出初步回应”,但其它问题可能需要更长的时间,如定义一个清晰的代码标准需要花大约三个月时间,而检查修正公共API降低复杂性可能需要一年时间。
继续阅读

Google创建OpenSSL分支–BoringSSL

Google宣布了创建的OpenSSL分支BoringSSL.随着Android、Chrome和其它项目开始需要这些补丁的子集,事情日益变得复杂,要保证所有补丁在不同代码库正常工作需要太多精力。所以决定创建OpenSSL分支。 但Google不打算取代OpenSSL,使用BoringSSL的代码不能保证API或ABI的稳定性,他们会继续向 OpenSSL递交bug修正,继续资助Core Infrastructure Initiative和OpenBSD基金会。OpenBSD创始人Theo de Raadt对此表示,…
继续阅读

OpenSSL替代加密库GnuTLS缓冲溢出漏洞

OpenSSL替代加密库GnuTLS发现了一个缓冲溢出漏洞,可被利用执行任意代码。漏洞出在ServerHello信息中会话ID的长度检查不正确。一个恶意配置的服务器在与设备建立HTTPS加密连接时,可通过发送超过会话ID值长度的畸形数据触发缓冲溢出。如果设备使用的GnuTLS版本没有打上补丁,设备能被攻击者远程劫持。GnuTLS被许多流行Linux发行版和软件所使用,开发者已在上月底发布了新版、和,修复漏洞,多数发行版应该已经打上了补丁。 官网: 
继续阅读
12