Outils pour utilisateurs

Outils du site


openbsd.org:libressl:patches

Table des matières

— [ OpenBSD ] [ LibreSSL ] ~ Traduction française de la page LibreSSL Upstream Patches : (v1.13 ; 13/06/2019)

LibreSSL Correctifs

Lorsque de vieux protocoles, algorithmes et des pratiques de développement sont obsolètes, souvent les logiciels en amont ne sont pas prêts pour la transition. Le projet OpenBSD, autant pour les OS que les distributions de logiciels, travaille à corriger un programme affecté localement lorsque des suppressions ont lieu, et pousse ces changements en amont afin que l'ensemble de l'écosystème du logiciel en bénéficie.

Le but de cette page est de suivre certains des correctifs maintenus par le système de ports OpenBSD. Le projet FreeBSD maintient un wiki détaillant les problèmes actuels et les notes de portage.

SSLv3

Une erreur commune est d'utiliser les méthodes SSLv3_method ou TLSv1_method pour mettre en place un nouveau SSL_CTX. Ces méthodes codent en dur la connexion vers une version particulière du protocole. Par exemple, la méthode TLSv1 spécifie que seul TLS 1.0 devrait être utilisé, empêchant TLS 1.1, 1.2 ou des versions ultérieures. C'est quasiment ce que nous ne souhaitons jamais.

Le moyen le plus durable et la manière la plus sécurisée est, soit d'utiliser SSLv23_method (pour la compatibilité avec les anciennes versions de LibreSSL/OpenSSL), soit les méthodes TLS_method les plus récentes, qui négocieront tous les deux le protocole le plus fort. En dépit de son nom, SSLv23_method peut actuellement négocier une connexion TLS avec OpenSSL ou LibreSSL. Depuis LibreSSL 2.3.0, SSLv23_method négocie seulement TLS.

Voici certains des programmes et des bibliothèques affectés par la suppression de SSLv3. Dans la plupart des cas, la prise en charge a été facilement franchie avec les vérifications OPENSSL_NO_SSLV3 ou en basculant sur les méthodes SSLv23_method, TLS_method. Tous les paquets OpenBSD maintenant ont soit leurs propres correctifs dans l'arborescence des ports, soit un correctif en amont qui n'est pas encore intégré dans sa version actuelle.

SHA-0

SHA-0, un algorithme de hachage retiré peu après sa publication il y a 20 ans, est enlevé depuis LibreSSL 2.3.0. LibreSSL fournit la nouvelle macro OPENSSL_NO_SHA0 pour détecter que l'algorithe soit désactivé. Les logiciels suivants ont besoin de correctif pour faire face à la suppression du SHA-0 de libcrypto :

EGD

EGD, ou Entropy Gathering Daemon (Service d'Entropie), est un outil écrit en perl dont le but est de remplacer la fonctionnalité /dev/urandom sur les systèmes qui n'ont pas un générateur de nombre aléatoire sécurisé dans le noyau, ou quand /dev/urandom n'est pas disponible, comme dans un environnement chroot aux privilèges séparés. LibreSSL fournit des données aléatoires via l'interface arc4random(3), et en tant que tel n'a jamais besoin de l'EGD ou d'une autre intervention des programmes afin de fournir un CSRNG aux programmes ou pour son propre usage. Plus récemment, le projet LibreSSL a supprimé les fonctions RAND_egd() and RAND_egd_bytes(), gardées avec OPENSSL_NO_EGD. Les programmes suivants ont besoin de correctifs pour empêcher l'utilisation d'EGD quand il n'est pas disponible.


Cette page est la traduction officieuse de la page “Upstream Patches” officielle de LibreSSL.
En cas de doute, merci de vous y référer !

Si vous voulez participer à l'effort de traduction, merci de lire ce topic.


Contribut(rice|eur)s :

jibe
openbsd.org/libressl/patches.txt · Dernière modification: 2020/08/19 03:57 de pengouinpdt