openssl+quic (quictls) 3.0.16 rpms released and added to all supported platforms.
OpenSSL 3.0.16 is a security patch release.
This release incorporates the following bug fixes and mitigations:
Fixed timing side-channel in ECDSA signature computation. (CVE-2024-13176) Fixed possible OOB memory access with invalid low-level GF(2^m) elliptic curve parameters. (CVE-2024-9143)
openssl+quic (quictls) 3.0.15 rpms released and added to all supported platforms.
Several bug and security fixes (CVEs assigned) fixed.
Мы начали предоставлять собранные пакеты для проекта OpenSSL+quic (инициатива Akamai и Microsoft) для EL7/EL8. Это позволит поставлять нам пакеты NGINX с поддержкой HTTP/3 (ex-QUIC). Пакет libs не конфликтует с установленной ОС: в нём к версии библиотек добавлен префикс «81.»: libssl.81.1.1 и libcrypto.81.1.1 вместо штатных libssl.1.1 и libcrypto.1.1.
Для инсталляции запустите:
dnf install openssl-quic-libs
Пакеты для разработки также доступны: openssl-quic-devel.
Один вопрос.
Стоит ли нам перейти на сборку mainline nginx с веткой OpenSSL tls1.3-draft-18, которая добавляет поддержку TLS v1.3?
Версия 1.10, конечно, не будет затронута.
Поделитесь своими мыслями в комментариях.
