Update CHANGES and NEWS for the new release

author Matt Caswell <matt@openssl.org>

Thu, 2 Jul 2015 14:38:32 +0000 (15:38 +0100)

committer Matt Caswell <matt@openssl.org>

Thu, 9 Jul 2015 08:32:04 +0000 (09:32 +0100)
author Matt Caswell <matt@openssl.org>
Thu, 2 Jul 2015 14:38:32 +0000 (15:38 +0100)
committer Matt Caswell <matt@openssl.org>
Thu, 9 Jul 2015 08:32:04 +0000 (09:32 +0100)
diff --git a/CHANGES b/CHANGES

index af27f3fdf5bacb049cdd4ecfe2f6846b10baf65c..7d4d2debfdfb9e2708f9e8b8d5cbf32ae59da560 100644 (file)
--- a/CHANGES
+++ b/CHANGES
@@ -4,7 +4,18 @@
  
   Changes between 1.0.1o and 1.0.1p [xx XXX xxxx]
  
-  *)
+  *) Alternate chains certificate forgery
+
+     During certificate verfification, OpenSSL will attempt to find an
+     alternative certificate chain if the first attempt to build such a chain
+     fails. An error in the implementation of this logic can mean that an
+     attacker could cause certain checks on untrusted certificates to be
+     bypassed, such as the CA flag, enabling them to use a valid leaf
+     certificate to act as a CA and "issue" an invalid certificate.
+
+     This issue was reported to OpenSSL by Adam Langley/David Benjamin
+     (Google/BoringSSL).
+     [Matt Caswell]
  
   Changes between 1.0.1n and 1.0.1o [12 Jun 2015]
  
diff --git a/NEWS b/NEWS

index 1d81d4ccf359906cc57f8dd6b7f2135def118e92..c736b247306421e135592972f317dec0450e29af 100644 (file)
--- a/NEWS
+++ b/NEWS
@@ -7,7 +7,7 @@
  
    Major changes between OpenSSL 1.0.1o and OpenSSL 1.0.1p [under development]
  
-      o
+      o Alternate chains certificate forgery (CVE-2015-1793)
  
    Major changes between OpenSSL 1.0.1n and OpenSSL 1.0.1o [12 Jun 2015]
author	Matt Caswell <matt@openssl.org>
	Thu, 2 Jul 2015 14:38:32 +0000 (15:38 +0100)
committer	Matt Caswell <matt@openssl.org>
	Thu, 9 Jul 2015 08:32:04 +0000 (09:32 +0100)