发布于 2015-10-21 00:54:57 | 132 次阅读 | 评论: 0 | 来源: 网友投递
LibreSSL SSL加密安全套接字库
LibreSSL是OpenSSL加密软件库的一个分支,为一个安全套接层(SSL)和传输层安全(TLS)协议的开源实现。在OpenSSL爆出心脏出血安全漏洞之后,一些OpenBSD开发者于2014年4月创立了LibreSSL,目标是重构OpenSSL的代码,以提供一个更安全的替代品。LibreSSL复刻自OpenSSL库的1.0.1g分支,它将遵循其他OpenBSD项目所使用的安全指导原则。
Qualys 的研究人员想看看 OpenSMTPD(SMTP 协议开源实现)有没有远程代码执行之类漏洞,发现找不到,于是他们改为去检查库文件的 C 函数 malloc()s 和 free()s,结果在 OpenSSL 替代 LibreSSL 中发现了一个内存溢出(CVE-2015-5333)和一个缓冲溢出漏洞(CVE-2015-5334)。LibreSSL 团队已经释出了修正。