Apache HTTP Server 2.4.39がリリースされた。
6件のセキュリティー修正を含んでいる (変更履歴ページにはダブリがあって7件に見えているが、編集ミスと疑われる)。

OpenSSLに低深刻度の脆弱性 CVE-2019-1543が発覚し、セキュリティー・アドバイザリーが刊行された。
低深刻度のため、新たなリリースはない。
ChaCha20-Poly1305を使った応用プログラムのうち一部が脆弱性を内包する。
OpenSSLでふつうにTLS/SSL通信する場合は問題ないという。

OpenSSLプロジェクトは、日本時間で今夜遅くからあす未明にかけ、1.1.1bと1.0.2rをリリースするようだ (予告記事)。
1.0.2rは、高くてもMODERATEなセキュリティー修正を含み、1.1.bはバグ修正リリース、とのこと。

おととい 12-23 は、OpenSSL発足20周年だったもよう。
    Celebrating 20 Years of OpenSSL
    OpenSSL ブログ
おめでたい。

きのう 12-24 は、消費税法発足30周年だったもよう。
こっちは特におめでたくはない。

今朝GNU Nettle 3.4.1がリリースされたようだ。
リリース・アナウンスのメールらしきページによると、従来はRSAの私有鍵操作でサイド・チャンネル情報が漏えいしていたようで

now side-channel silent

などと見える。

OpenSSLのブログによると、今後、次のようにするそうだ。

1. 従来
    MAJOR.MINOR.FIX[PATCH]
だったバージョンの採番を
    MAJOR.MINOR.PATCH
と改める。

2. 上記の採番は、3.0から始める。1.0.2や1.1.1系列へは適用しない。

3. 2系列は、使用しない (FIPSの系列として使用済のため)。

4. 3系列からの許諾は、Apache License 2.0に変える。

79億もの血税が「政党助成金」として交付されてしまったもよう。
    <https://www.sankei.com/politics/news/181022/plt1810220028-n1.html>
そのうえ消費税増率上げるとか言っているし、いいかげん、勘弁してほしい。
- - - - -
PS この2つの関係は大ありだ。お手盛りで金もらって納税者に負担を求める議員の神経が理解できない。

Apache HTTP Serverに脆弱性 (CVE-2018-11763) が発覚し、2.4.35がリリースされた (2018-09-22)。

OpenSSLの1.1.1版が正式リリースされた(2018-09-11)。OpenSSLのブログによると、1.1.0からの差分で200人を超える貢献者らが約5,000回のコミットをしたもよう。
新しい特長は第一に、先月刊行されたTLS 1.3 (RFC 8446) のサポートだ。次に乱数生成子の改善。またSHA-3やEdDSA (TLS1.3でも使われる) など新しいアルゴリズムのサポートもある。
なにはともあれ関係各位の努力とご苦労に敬意を表したい。