SWEET32 (CVE-2016-2183): Move DES from HIGH to MEDIUM

author Rich Salz <rsalz@openssl.org>

Thu, 18 Aug 2016 13:26:52 +0000 (09:26 -0400)

committer Rich Salz <rsalz@openssl.org>

Wed, 24 Aug 2016 12:58:00 +0000 (08:58 -0400)
author Rich Salz <rsalz@openssl.org>
Thu, 18 Aug 2016 13:26:52 +0000 (09:26 -0400)
committer Rich Salz <rsalz@openssl.org>
Wed, 24 Aug 2016 12:58:00 +0000 (08:58 -0400)
diff --git a/CHANGES b/CHANGES

index 9442f3d9e48c064b792ae69b19656c21930771f9..f89b50be639e2f02ba86c8feae7f7cfdd948b327 100644 (file)
--- a/CHANGES
+++ b/CHANGES
@@ -4,7 +4,9 @@
  
   Changes between 1.0.1t and 1.0.1u [xx XXX xxxx]
  
  
   Changes between 1.0.1t and 1.0.1u [xx XXX xxxx]
  
-  *)
+  *) In order to mitigate the SWEET32 attack (CVE-2016-2183),
+     the DES ciphers were moved from HIGH to MEDIUM.
+     [Rich Salz]
  
   Changes between 1.0.1s and 1.0.1t [3 May 2016]
  
  
   Changes between 1.0.1s and 1.0.1t [3 May 2016]
  
diff --git a/ssl/s3_lib.c b/ssl/s3_lib.c

index 35d6587da9515e8018535f0a5d1ee14b3817f8f2..6b1822d8f681999b871512f0fc8f9b7d34670b62 100644 (file)
--- a/ssl/s3_lib.c
+++ b/ssl/s3_lib.c
@@ -334,7 +334,7 @@ OPENSSL_GLOBAL SSL_CIPHER ssl3_ciphers[] = {
       SSL_3DES,
       SSL_SHA1,
       SSL_SSLV3,
       SSL_3DES,
       SSL_SHA1,
       SSL_SSLV3,
-     SSL_NOT_EXP | SSL_HIGH | SSL_FIPS,
+     SSL_NOT_EXP | SSL_MEDIUM | SSL_FIPS,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
@@ -387,7 +387,7 @@ OPENSSL_GLOBAL SSL_CIPHER ssl3_ciphers[] = {
       SSL_3DES,
       SSL_SHA1,
       SSL_SSLV3,
       SSL_3DES,
       SSL_SHA1,
       SSL_SSLV3,
-     SSL_NOT_EXP | SSL_HIGH | SSL_FIPS,
+     SSL_NOT_EXP | SSL_MEDIUM | SSL_FIPS,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
@@ -439,7 +439,7 @@ OPENSSL_GLOBAL SSL_CIPHER ssl3_ciphers[] = {
       SSL_3DES,
       SSL_SHA1,
       SSL_SSLV3,
       SSL_3DES,
       SSL_SHA1,
       SSL_SSLV3,
-     SSL_NOT_EXP | SSL_HIGH | SSL_FIPS,
+     SSL_NOT_EXP | SSL_MEDIUM | SSL_FIPS,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
@@ -492,7 +492,7 @@ OPENSSL_GLOBAL SSL_CIPHER ssl3_ciphers[] = {
       SSL_3DES,
       SSL_SHA1,
       SSL_SSLV3,
       SSL_3DES,
       SSL_SHA1,
       SSL_SSLV3,
-     SSL_NOT_EXP | SSL_HIGH | SSL_FIPS,
+     SSL_NOT_EXP | SSL_MEDIUM | SSL_FIPS,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
@@ -544,7 +544,7 @@ OPENSSL_GLOBAL SSL_CIPHER ssl3_ciphers[] = {
       SSL_3DES,
       SSL_SHA1,
       SSL_SSLV3,
       SSL_3DES,
       SSL_SHA1,
       SSL_SSLV3,
-     SSL_NOT_EXP | SSL_HIGH | SSL_FIPS,
+     SSL_NOT_EXP | SSL_MEDIUM | SSL_FIPS,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
@@ -630,7 +630,7 @@ OPENSSL_GLOBAL SSL_CIPHER ssl3_ciphers[] = {
       SSL_3DES,
       SSL_SHA1,
       SSL_SSLV3,
       SSL_3DES,
       SSL_SHA1,
       SSL_SSLV3,
-     SSL_NOT_DEFAULT | SSL_NOT_EXP | SSL_HIGH | SSL_FIPS,
+     SSL_NOT_DEFAULT | SSL_NOT_EXP | SSL_MEDIUM | SSL_FIPS,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
@@ -717,7 +717,7 @@ OPENSSL_GLOBAL SSL_CIPHER ssl3_ciphers[] = {
       SSL_3DES,
       SSL_SHA1,
       SSL_SSLV3,
       SSL_3DES,
       SSL_SHA1,
       SSL_SSLV3,
-     SSL_NOT_EXP | SSL_HIGH | SSL_FIPS,
+     SSL_NOT_EXP | SSL_MEDIUM | SSL_FIPS,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
@@ -783,7 +783,7 @@ OPENSSL_GLOBAL SSL_CIPHER ssl3_ciphers[] = {
       SSL_3DES,
       SSL_MD5,
       SSL_SSLV3,
       SSL_3DES,
       SSL_MD5,
       SSL_SSLV3,
-     SSL_NOT_EXP | SSL_HIGH,
+     SSL_NOT_EXP | SSL_MEDIUM,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
@@ -1733,7 +1733,7 @@ OPENSSL_GLOBAL SSL_CIPHER ssl3_ciphers[] = {
       SSL_3DES,
       SSL_SHA1,
       SSL_TLSV1,
       SSL_3DES,
       SSL_SHA1,
       SSL_TLSV1,
-     SSL_NOT_EXP | SSL_HIGH | SSL_FIPS,
+     SSL_NOT_EXP | SSL_MEDIUM | SSL_FIPS,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
@@ -2110,7 +2110,7 @@ OPENSSL_GLOBAL SSL_CIPHER ssl3_ciphers[] = {
       SSL_3DES,
       SSL_SHA1,
       SSL_TLSV1,
       SSL_3DES,
       SSL_SHA1,
       SSL_TLSV1,
-     SSL_NOT_EXP | SSL_HIGH | SSL_FIPS,
+     SSL_NOT_EXP | SSL_MEDIUM | SSL_FIPS,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
@@ -2190,7 +2190,7 @@ OPENSSL_GLOBAL SSL_CIPHER ssl3_ciphers[] = {
       SSL_3DES,
       SSL_SHA1,
       SSL_TLSV1,
       SSL_3DES,
       SSL_SHA1,
       SSL_TLSV1,
-     SSL_NOT_EXP | SSL_HIGH | SSL_FIPS,
+     SSL_NOT_EXP | SSL_MEDIUM | SSL_FIPS,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
@@ -2270,7 +2270,7 @@ OPENSSL_GLOBAL SSL_CIPHER ssl3_ciphers[] = {
       SSL_3DES,
       SSL_SHA1,
       SSL_TLSV1,
       SSL_3DES,
       SSL_SHA1,
       SSL_TLSV1,
-     SSL_NOT_EXP | SSL_HIGH | SSL_FIPS,
+     SSL_NOT_EXP | SSL_MEDIUM | SSL_FIPS,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
@@ -2350,7 +2350,7 @@ OPENSSL_GLOBAL SSL_CIPHER ssl3_ciphers[] = {
       SSL_3DES,
       SSL_SHA1,
       SSL_TLSV1,
       SSL_3DES,
       SSL_SHA1,
       SSL_TLSV1,
-     SSL_NOT_EXP | SSL_HIGH | SSL_FIPS,
+     SSL_NOT_EXP | SSL_MEDIUM | SSL_FIPS,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
@@ -2430,7 +2430,7 @@ OPENSSL_GLOBAL SSL_CIPHER ssl3_ciphers[] = {
       SSL_3DES,
       SSL_SHA1,
       SSL_TLSV1,
       SSL_3DES,
       SSL_SHA1,
       SSL_TLSV1,
-     SSL_NOT_DEFAULT | SSL_NOT_EXP | SSL_HIGH | SSL_FIPS,
+     SSL_NOT_DEFAULT | SSL_NOT_EXP | SSL_MEDIUM | SSL_FIPS,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
@@ -2480,7 +2480,7 @@ OPENSSL_GLOBAL SSL_CIPHER ssl3_ciphers[] = {
       SSL_3DES,
       SSL_SHA1,
       SSL_TLSV1,
       SSL_3DES,
       SSL_SHA1,
       SSL_TLSV1,
-     SSL_NOT_EXP | SSL_HIGH,
+     SSL_NOT_EXP | SSL_MEDIUM,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
@@ -2496,7 +2496,7 @@ OPENSSL_GLOBAL SSL_CIPHER ssl3_ciphers[] = {
       SSL_3DES,
       SSL_SHA1,
       SSL_TLSV1,
       SSL_3DES,
       SSL_SHA1,
       SSL_TLSV1,
-     SSL_NOT_EXP | SSL_HIGH,
+     SSL_NOT_EXP | SSL_MEDIUM,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
@@ -2512,7 +2512,7 @@ OPENSSL_GLOBAL SSL_CIPHER ssl3_ciphers[] = {
       SSL_3DES,
       SSL_SHA1,
       SSL_TLSV1,
       SSL_3DES,
       SSL_SHA1,
       SSL_TLSV1,
-     SSL_NOT_EXP | SSL_HIGH,
+     SSL_NOT_EXP | SSL_MEDIUM,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
       SSL_HANDSHAKE_MAC_DEFAULT | TLS1_PRF,
       112,
       168,
author	Rich Salz <rsalz@openssl.org>
	Thu, 18 Aug 2016 13:26:52 +0000 (09:26 -0400)
committer	Rich Salz <rsalz@openssl.org>
	Wed, 24 Aug 2016 12:58:00 +0000 (08:58 -0400)
CHANGES		patch \| blob \| history
ssl/s3_lib.c		patch \| blob \| history