Update CHANGES and NEWS for the new release
authorMatt Caswell <matt@openssl.org>
Thu, 2 Jul 2015 14:38:32 +0000 (15:38 +0100)
committerMatt Caswell <matt@openssl.org>
Thu, 9 Jul 2015 08:31:25 +0000 (09:31 +0100)
Reviewed-by: Stephen Henson <steve@openssl.org>
CHANGES
NEWS

diff --git a/CHANGES b/CHANGES
index 5aff3e16910e9c5691eaeb13b8407d6da63e141e..a3b3e201872ca8b42616b4e55e4603d10adf2a81 100644 (file)
--- a/CHANGES
+++ b/CHANGES
@@ -4,7 +4,18 @@
 
  Changes between 1.0.2c and 1.0.2d [xx XXX xxxx]
 
-  *)
+  *) Alternate chains certificate forgery
+
+     During certificate verfification, OpenSSL will attempt to find an
+     alternative certificate chain if the first attempt to build such a chain
+     fails. An error in the implementation of this logic can mean that an
+     attacker could cause certain checks on untrusted certificates to be
+     bypassed, such as the CA flag, enabling them to use a valid leaf
+     certificate to act as a CA and "issue" an invalid certificate.
+
+     This issue was reported to OpenSSL by Adam Langley/David Benjamin
+     (Google/BoringSSL).
+     [Matt Caswell]
 
  Changes between 1.0.2b and 1.0.2c [12 Jun 2015]
 
diff --git a/NEWS b/NEWS
index f87f926b9db674f56493072bbce3cad44ff22cae..e51526ea35651d705040930a455dc6585a3df00f 100644 (file)
--- a/NEWS
+++ b/NEWS
@@ -7,7 +7,7 @@
 
   Major changes between OpenSSL 1.0.2c and OpenSSL 1.0.2d [under development]
 
-      o
+      o Alternate chains certificate forgery (CVE-2015-1793)
 
   Major changes between OpenSSL 1.0.2b and OpenSSL 1.0.2c [12 Jun 2015]