开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > 加密解密 > CA认证 > 查看源码
relnotes.txt
资源名称:nss-3.1.1.tar.gz [点击查看]
上传用户:lyxiangda
上传日期:2007-01-12
资源大小:3042k
文件大小:10k
源码类别:

CA认证

开发平台:

WINDOWS

relnotes.txt:源码内容
  1. HCL Users,
  3. HCL 1.5.7 has been released.  It fixes a very small list of bugs that
  4. were found since HCL 1.5.6 was released, and contains no new features or 
  5. public API changes.  The list of bugs fixed in HCL 1.5.7 is below.  
  6. The release notes for HCL 1.5.6 are appended to these notes.  
  8. ALL SERVERS should abandon HCL 1.5.6 and switch to HCL 1.5.7 ASAP.
  9. The reasons for this strong recommendation should be self apparent after
  10. reading the list of bugs fixed.
  12. We recommend that all sources that include HCL headers be recompiled 
  13. with the new HCL 1.5.7 headers.  This is only a precaution.
  16. Security Library 1.57
  17. Build Date: 19980902
  19. ****************************************************************
  20. **
  21. **  NOTE:  THIS RELEASE IS NOT BINARY COMPATIBLE WITH 1.55
  22. **      AND ANY APPLICATION CODE WILL HAVE TO BE RECOMPILED
  23. **
  24. ****************************************************************
  27. ****************************************************************
  28. **
  29. **  Directory organization of this release
  30. **
  31. ****************************************************************
  33. This release consists of the following:
  34. - a JAR file, xpheader.jar, that contains all of the public header files.
  36. - <platform> directories: where <platform> is of the form
  37.   <os-name><os-version>[_<compiler>][_<implementation strategy>]_<DBG/OPT>.OBJ
  38.   For example,
  39.       IRIX6.2_DBG.OBJ (debug build)
  40.       SunOS5.5.1_OPT.OBJ (optimized build)
  41.       SunOS5.5.1_gcc_DBG.OBJ (built using the non-native compiler gcc)
  42.       OSF1V4.0_PTH_DBG.OBJ (PTH means the implementation uses pthreads.)
  43.       AIX4.1_PTH_USER_DBG.OBJ (PTH_USER means the implementation is
  44.           a combination of user-level threads and pthreads.)
  46.   Under each <platform> directory, is the file, mdbinary.jar.  This is a
  47.   JAR file containing the compiled libraries.
  50. ************************************************************
  51. **
  52. **  Platforms supported
  53. **
  54. ************************************************************
  56. The following platforms are supported:
  57. - Solaris on sparc: 2.5.1, 2.6 (built with cc) 
  58. - IRIX: 6.2, 6.3 (built with cc)
  59. - HP-UX: B.10.10, B10.20, B11.00 (built with cc)
  60. - OSF1: V4.0D (built with cc)
  61. - AIX: 4.2 (built with compiler xlC_r).
  62. - Linux: 2.1.108
  63. - WINNT: 4.0 (Visual C++ 4.2 built with and without debug runtime)
  66. ************************************************************
  67. **
  68. **  How to build the libraries yourself
  69. **
  70. ************************************************************
  71. This release of HCL depends on NSPR version 19980529A and 
  72. DBM version DBM_1_53.
  74. To build the libraries yourself, execute the following instructions.
  76. On UNIX machines:
  77. cvs co -r HCL_157 ns/security
  78. cvs co -r HCL_157 ns/coreconf
  79. cd ns/coreconf
  80. source ./.cshrc
  81. gmake [BUILD_OPT=1]
  82. cd ..
  83. cd security
  84. gmake [BUILD_OPT=1] import
  85. gmake [BUILD_OPT=1]
  87. On Windows NT machines:
  88. cvs co -r HCL_157 ns/security
  89. cvs co -r HCL_157 ns/coreconf
  90. cd ns/security
  91. gmake [BUILD_OPT=1] import
  92. gmake [BUILD_OPT=1]
  94. For IRIX builds using -n32 flag with pthreads:
  95. cvs co -r HCL_157 ns/security
  96. cvs co -r HCL_157 ns/coreconf
  97. cd ns/coreconf
  98. source ./.cshrc
  99. gmake USE_N32=1 USE_PTHREADS=1 [BUILD_OPT=1]
  100. cd ..
  101. cd security
  102. gmake USE_N32=1 USE_PTHREADS=1 [BUILD_OPT=1] import
  103. gmake USE_N32=1 USE_PTHREADS=1 [BUILD_OPT=1]
  106. ************************************************************
  107. **
  108. **  Web site, mailing lists, questions, bug reports
  109. **
  110. ************************************************************
  112. You can find information about the Security Libraries at the Hardcore Web
  113. site: http://warp/projects/hardcore/
  115. If you have any questions regarding SSL or the HCL libraries, please refer to the 
  116. following documents:  
  117. http://twain.mcom.com/developer/security/nss/ssl/index.htm
  118. http://twain.mcom.com/developer/security/nss/index.htm
  120. There is a mailing list for HCL issues:
  121.   - hcl: the developers of HCL.
  123. Please use BugSplat on scopus (http://scopus/bugsplat) to report
  124. bugs.  Choose product "Security Library", version "1.5".
  127. Here's how/where to get HCL 1.5.7:
  129. bits are available at
  130. /m/dist/security/19980902  a.k.a.  /m/dist/security/HCL_1_57
  132. \heliumdistsecurity19980902  or \heliumdistsecurityHCL_1_57
  135. Here is the list of bugs fixed in HCL 1.5.7:
  136. a) Thread safety-related crash in cert lib.
  138. b) Thread safety-related problems in NSPR's PL_Arena code.  
  139.    Worked around by surrounding all HCL's PL_Arena calls with a lock/unlock.
  140.    Applications that make their own calls to NSPR's PL_Arena functions or 
  141.    that use other non-HCL libraries that use PL_Arenas may continue to have 
  142.    thread-safety issues with PL_Arenas.
  144. c) Fixed a regression in PKCS#11 in HCL 1.5.6 that caused a crash the 
  145.    first time a server received a bleichenbacker attack ("million question")
  146.    message.
  148. See the HCL 1.5.6 release notes below for the list of known bugs in 1.5.7.
  151. Here is a list of the bugs fixed in HCL 1.5.6:
  153. 312467 SSL3 uses global pointers for step-down keys, leaks keys  
  154. 314392 CERT_DestroyCertificate locking code causes nested locking  
  155. 314571 Memory leak in SSL  
  156. 314574 HCL Leaks in PKCS #11.  
  157. 314576 Memory leak in pseudo-prime test in libcrypto  
  158. 314585 SSL's PR_AcceptRead returns non-aligned PRNetAddr  
  159. 314592 pkcs5 leaks two memory blocks for each RSA private key op  
  160. 314596 random number generator causes Unitialized Memory Reads  
  162. ------------------------------------------------------------------------
  163.                    HCL 1.5.6 Readme (release notes)
  164. ------------------------------------------------------------------------
  166. This file summarizes enhancements, fixed and known bugs in HCL 1.5.6.
  168. For detailed instructions on setting up your environment to run the
  169. sample code in the samples directory, see Chapter 2, "Getting Started
  170. with SSL" (doc/ssl/gtstd.htm) of the SSL Reference (doc/ssl/index.htm).
  173. ENHANCEMENTS SINCE NSS 1.5.4
  175. 1. SSL returns much more detailed error messages; for details, see 
  176. doc/ssl/sslerr.htm
  178. SSL BUGS FIXED SINCE HCL 1.5.4
  180. 1. The "million question" bug in SSL has been fixed.
  182. 2.  A potential problem (on Unix only) with SSL_InitSessionIDCache has
  183. been fixed.  The application chooses the directory into which the SSL
  184. library places the server session cache.  If the application doesn't
  185. specify a directory explicitly, the code defaults to using the system
  186. default "temporary" directory, which is generally world-writable.  The
  187. problem that was fixed occured only when the application chose to put
  188. the session cache files into a directory writable by untrusted users.
  189. If the application put the cache files in a directory that has
  190. appropriate limits on access, there was no problem.  But if the
  191. application put the cache files into a directory that was world
  192. writable, it was possible for a rogue program to try to substitute a
  193. file it already had open for the server's cache file, and it would
  194. succeed some of the time.  When it succeeded, it had access to the
  195. content of the session ID cache, which enabled it to do various bad
  196. things, such as masquerade as one of the remote clients whose session
  197. was in the cache.
  199. The above problem with the Unix version of SSL_InitSessionIDCachehas
  200. been fixed, and rogue programs cannot succeed in substituting their own
  201. files for the server's files any more.
  203. 3.  Client no longer rejects SSL ServerKeyExchange when server's
  204. certificate key size is 512 bits.
  206. 4.  Server no longer crashes in SSL after required client authentication
  207. fails.
  209. 5.  A problem that was causing crashes when multiple threads
  210. simultaneously requested client authentication on their respective
  211. server sockets has been fixed.
  213. 6.  The following functions now work with SSL sockets:
  215.    PR_Write
  216.    PR_TransmitFile
  217.    PR_AcceptRead
  219. 7. SSL now accepts client hellos that are too long.
  220.  
  221. 8.  A problem that produced bad results when multiple threads
  222. simultaneously used the random number generator has been fixed.
  226. KNOWN BUGS IN HCL 1.5.6:
  228. 1.  A crash may occur when multiple processes attempt to share a server
  229. session ID cache.  Because of this bug, an application that handshakes
  230. as a server is limited to conducting all SSL calls in a single process.
  232. 2. Removing a token does not invalidate the client-side session cache.
  234. 3.  While a handshake is in progress on an SSL socket, it is not safe
  235. for two threads to attempt simultaneous read and write calls (PR_Recv
  236. and PR_Send) on that socket.  Workaround: ensure that only one thread
  237. uses an SSL socket at a time.
  239. We expect the above 3 bugs will be fixed in a forthcoming release.
  241. SSL v2 issues in HCL 1.5.x:
  243. 1.  SSL_RedoHandshake only works on SSL3 connections, not SSL2.  The
  244. SSL2 protocol does not permit additional handshakes on the connection
  245. after the first one is done.  Ergo, if a client certificate is to be
  246. requested in an SSL2 connection, it must be requested on the initial
  247. handshake.
  249. 2.  HCL's SSL2 ignores the setting of the SSL_REQUIRE_CERTIFICATE
  250. enable.  When SSL_REQUEST_CERTIFICATE is enabled, SSL2 behaves as if
  251. SSL_REQUIRE_CERTIFICATE is also enabled, regardless of the actual
  252. setting of the SSL_REQUIRE_CERTIFICATE enable.
  254. 3.  HCL's SSL2 server code doesn't call the bad cert handler callback
  255. when the authCert callback returns an error.  The ssl2 client code DOES
  256. use the badcerthandler callback, but the ssl2 server code does not.
  257. This means that if the server's authCert callback returns SECFailure,
  258. rejecting the client cert received on an SSL2 connection, the
  259. badCerthandler cannot override it.
  261. 4.  HCL's SSL2 server code never caches the client cert.  Consequently,
  262. if an SSL2 server is configured to request the client cert, it must ask
  263. the client for the client cert on every connection, not just on the
  264. first connection in the "session".   The SSL2 client must provide the
  265. cert in every SSL2 connection that requests it.  If the user has set the
  266. "ask me every time" option for his certs, he will get prompted a LOT.
  268. Item 1 above is not a bug.  That's the way ssl2 is defined.  Items 2-4
  269. are limitations of our implementation.  TomW says client auth in ssl2
  270. was never officially supported (although it is mostly implemented).
  272. Recommended workaround for SSL2 issues:
  274. a) Don't expect client auth to work for SSL2 users.
  275. b) Don't request client auth in the initial handshake.  Request it in a
  276. subsequent handshake (e.g. set SSL_REQUEST_CERTIFICATE and call 
  277. SSL_RedoHandshake() on SSL3 connections.  This will completely avoid 
  278. client auth problems with SSL2.  
  280. For some time now, we've been suggesting that servers request client
  281. auth on a second handshake, not the first handshake in the connection.
  282. If they do that, then they will never get client certs from ssl2
  283. clients.  That is a good thing.