La version 2.6.2 de LibreSSL est sortie !

Il s'agit de la troisième version de développement de la série des 2.6, qui sera probablement intégrée dans le système de base d'OpenBSD 6.2. Elle intègre les changements suivants :

• Fourni une erreur utile avec libtl s'il n'y a pas d'URL OCSP dans un certificat par les pairs.
• Garde trace de quelle paire de clé est en cours d'utilisation dans un contexte TLS, ce qui corrige un bug où un serveur TLS avec SNI ne pouvait retourner que l'élément de base OCSP pour la paire de clés par défaut. Ce problème a été rapporté par William Graeber et confirmé par Andreas Bartelt.
• Correction de plusieurs erreurs dans le code d'analyse de l'extension OCSP. Le code d'origine passait incorrectement un pointeur qui donnait probablement lieu à un crash. Cette erreur a été rapportée par Robert Swiecki qui l'a trouvée avec hongfuzz.
• Si la fonction tls_config_parse_protocols() est appelée avec un pointeur NULL, on retrourne le protocole par défaut au lieu de crasher. Cela rend ce comportement plus pratique et copie ce qui est déjà fait dans tls_config_set_ciphers et al.

Le projet LibreSSL continue les améliorations de la base du code pour le rendre moderne avec de bonnes pratiques de programmation. Les retours et améliorations sont bienvenus par toute la communauté. Merci à tous les contributeurs qui ont aidé à rendre cette publication possible.

 

Original post of Thuban.Votez pour ce billet sur Planet Libre.