OpenSSL 1.0.0c

В новой версии представлено более 100 улучшений, особенно много изменений связано с попытками увеличения надежности, безопасности и стабильности.

Основные новшества:

* Добавлена поддержка российских криптографических алгоритмов, реализованных благодаря компании Криптоком. Например, поддерживаются стандарты: ГОСТ Р 34.10-2001 (электронная подпись ); VKO 34.10-2001 (распределение ключей ); ГОСТ Р 34.11-94 (хэширование); ГОСТ 28147-89 (симметричное шифрование);
* Упрощение указания типов хешей и шифров при работе в командной строке, отныне можно указывать как "openssl dgst -sha256 foo", так и в сокращенном виде "openssl sha256 foo".
* Для записи приватных ключей по умолчанию используется формат PKCS#8, не зависимый от MD5 хешей;
* При участии Google реализована поддержка: Delta CRL (Certificate Revocation Lists) списков аннулированных сертификатов, определяющих только сертификаты, статус которых был изменен относительно базового CRL; "partitioned" CRL, списков разбитых на разделы в зависимости от кода причины аннулирования сертификата; начальная поддержка "indirect CRL"; плюс еще около 5 улучшений в поддержке CRL;
* Новые расширения: "policy mappings extension", "freshest CRL extension", "Opaque PRF Input TLS extension";
* Начальная поддержка CMS (Cryptographic Message Syntax), определенного в RFC3850, RFC3851 и RFC3852. Управление производится через утилиту cms;
* В ядро библиотеки интегрирован код для увеличения безопасности, через жесткую проверку типов. Для оптимизации потребления памяти добавлен режим SSL_MODE_RELEASE_BUFFERS, при котором производится освобождение неиспользуемых буферов. Изменен подход при обработке строковых данных в коде SSL/TLS;
* Добавлен оптимизирующий код на ассемблере для архитектур s390x и ARMv4;
* Добавлена поддержка RFC4507 для более безопасной организации клиентских сессий, а также RFC 4279 для подключения комплектов pre-shared PSK TLS шифров. Добавлена совместимость с RFC 3161, RFC 3280;
* Добавлена поддержка сборки в gcc 4.2;
* Добавлена поддержка dsa-with-SHA224 и dsa-with-SHA256, а также поддержка типов сигнатур ecdsa-with-SHA224/256/384/512.

---

Downloads (~3,8 Mb)_http://www.openssl.or...l-1.0.0.tar.gz

Исправлена уязвимость, которая присутствует в CMS-коде и позволяет осуществить запись за пределы области памяти буфера через передачу некорректного значения в поле OriginatorInfo. Кроме того, в версии 1.0.0a исправлена еще одна уязвимость, дающая возможность записи данных произвольного размера в неинициализированную область памяти. Проблеме подвержены приложения, использующие для работы с RSA-ключами функцию pkey_rsa_verifyrecover, появившуюся только в версии OpenSSL 1.0.0.

---

Downloads (~3,9 Mb)_ftp://ftp.openssl.or...-1.0.0a.tar.gz

Устранена опасная уязвимость, которая может привести к осуществлению DoS-атаки или выполнению кода злоумышленника на сервере. Пользователям рекомендуется как можно скорее установить обновление, так как удаленный злоумышленник может атаковать использующее OpenSSL серверное приложение и при удачном стечении обстоятельств выполнить свой код с правами данного приложения.

Проблема присутствует в серверном TLS-расширении и связана с ошибкой в коде парсера, приводящей к переполнению буфера при возникновении состояния гонки (race condition). Уязвимости подвержены только конфигурации, работающие в многопоточном режиме и использующие внутренний механизм кэширования в OpenSSL. Проблеме не подвержены серверы, обрабатывающие запросы разными процессами или не использующие внутренний кэш (например, уязвимости не подвержены Apache и Stunnel).

---

Downloads (~3,8 Mb)_http://www.openssl.or...-1.0.0b.tar.gz

important bug and security fixes

---

Downloads (~3,9 Mb)_ftp://ftp.openssl.or...-1.0.0c.tar.gz