LibreSSL - Nullbyte

LibreSSL

از دیگر مواردی که در آلپاین پیاده سازی شده است استفاده از LibreSSLمی‌باشد و همچنین در نسخه‌های سیستم عامل OpenBSD کتابخانه معروف OpenSSL به LibreSSL تبدیل شده است. LibreSSL یک کتابخانه ایجاد شده توسط تیم OpenBSD می‌باشد. کتابخانه OpenSSL یک مرجع برای ارتباطات امن SSl/TLS می باشد که تنها با CryptoAPI مایکروسافت رقابت می‌کند. اما زمانی‌که یک آسیب پذیری جدی در این کتابخانه با نام آسیب پذیری خونریزی قلبی کشف شد، باعث شد به طور جدی از اعتبار این کتابخانه کاسته شود.
برای اصلاح این مشکل در سیستم عامل OpenBSD و پوسته امن OpenSSH یک کتابخانه جایگزین برای OpenSSL با نام LibreSSL ایجاد شد. LibreSSL چندین هدف دارد ازجمله سازگاری API با OpenSSL و ساده سازی از طریق حذف ویژگی هایی که غیر ضروری است.
این مشکل بخشی از یک نرم‌افزار را با نام OpenSSL تحت تاثیر قرار می‌دهد که به‌عنوان راهکاری برای مسائل امنیتی در وب سرورها مورداستفاده قرار می‌گیرد. با استفاده از OpenSSL وب‌سایت‌ها می‌توانند اطلاعات خود را بصورت رمزنگاری شده در اختیار کاربران قرار دهند، از این‌رو سایر افراد توانایی دسترسی و استفاده از داده‌های رد و بدل شده را که شامل نام‌های کاربری، رمز‌های عبور و کوکی‌ها است، ندارند. OpenSSL یک پروژه‌ی متن باز است، یعنی این پروژه توسط مجموعه‌ای از افراد متخصص توسعه داده شده است که در قبال سرویس توسعه‌داده شده هزینه ای را دریافت نکرده‌اند. هدف این افراد کمک به توسعه‌ی وب و یاری جامعه‌ی اینترنت بوده است. نسخه‌‌ی ۱٫۰٫۱ پروژه‌ی OpenSSL در ۱۹ آپریل ۲۰۱۲ میلادی منتشر شده است. مشکل موجود ناشی از یک اشتباه برنامه‌نویسی در همین نسخه است که اجازه‌ی کپی برداری از اطلاعات موجود در حافظه‌ی وب سرور را به یک فرد یا نرم‌افزار مخرب بدون ثبت اثری از آن می‌دهد. این مشکل پس از اضافه شدن یک ویژگی جدید ایجادشده که توسط برنامه‌نویسی آلمانی با نام دکتر رابین‌سِگِلمَن روی OpenSSL ‌اضافه شده است.
خونریزی قلبی یکی از ویژگی‌های داخلی OpenSSL را با نام ضربان قلب مورداستفاده قرار می‌دهد. زمانی که رایانه‌ی کاربر به یک وب‌سایت دسترسی پیدا می‌کند، وب‌سایت پاسخی را به مرورگر کاربر ارسال می‌کند تا رایانه‌ی کاربر را از فعالیت خود و همچنین قابلیت پاسخ‌گویی به درخواست‌های بعدی آگاه سازد، این رد و بدل شدن اطلاعات را ضربان قلب گویند. ارسال درخواست و پاسخ به آن با رد و بدل شدن داده‌ها همراه است. در حالت نرمال، زمانی که رایانه‌ی کاربر درخواستی را از سرور به عمل می‌آورد، ضربان قلب میزان داده‌ی مجاز درخواست شده از طرف کاربر را ارسال می‌کند، اما در مورد سرورهایی که این باگ را در ساختار خود دارند، یک هکر قادر است تا درخواستی را مبنی بر گرفتن داده‌ها از حافظه‌ی سرور ارسال کرده و داده‌ای را با حداکثر اندازه‌ی ۶۵,۵۳۶ بایت دریافت کند.
براساس اطلاعات ارائه شده توسط CloudFlare، اطلاعات درخواست شده شاید دربردارنده‌ی اطلاعاتی از سایر بخش‌های OpenSSL ‌نیز باشد. اطلاعات موجود در حافظه کاملا از پلتفرم مستقل هستند. با اتصال رایانه‌های بیشتر به سرور اطلاعات موجود در حافظه‌ از بین رفته و اطلاعات جدید جایگزین می‌شود، از این‌رو صدور درخواست‌های جدید توسط هکرها منجر به دریافت اطلاعات جدیدتری خواهد شد که شامل اطلاعات ورود، کوکی‌ها و داده‌هایی می‌شود که هکرها می‌توانند از آن‌ها بهره‌برداری نمایند.
LibreSSL یک پروتکل منبع باز پروتکل TLS است. این پیاده سازی به نام Secure Sockets Layer (SSL) ، TLS نامگذاری شده است، که پشتیبانی از این نسخه در نسخه ۲٫۳٫۰ حذف شده است. پروژه OpenBSD LibreSSL را از OpenSSL 1.0.1g در آوریل ۲۰۱۴ به‌عنوان پاسخی به آسیب پذیری امنیتی خونریزی قلبی، با هدف بهینه کردن بانک اطلاعاتی، بهبود امنیت و استفاده از بهترین روش های توسعه است.