ProHoster > Blog > internet nuus > OpenSSL 1.1.1j, wolfSSL 4.7.0 en LibreSSL 3.2.4-opdatering

OpenSSL 1.1.1j, wolfSSL 4.7.0 en LibreSSL 3.2.4-opdatering

'n Instandhoudingsvrystelling van die OpenSSL-kriptografiese biblioteek 1.1.1j is beskikbaar, wat twee kwesbaarhede regstel:

  • CVE-2021-23841 is 'n NULL-wyserverwysing in die X509_issuer_and_serial_hash()-funksie, wat toepassings wat hierdie funksie oproep om X509-sertifikate met 'n verkeerde waarde in die uitreikerveld te hanteer, kan verongeluk.
  • CVE-2021-23840 is 'n heelgetal oorloop in die EVP_CipherUpdate-, EVP_EncryptUpdate- en EVP_DecryptUpdate-funksies wat kan lei tot die terugkeer van 'n waarde van 1, wat 'n suksesvolle bewerking aandui en die grootte op 'n negatiewe waarde stel, wat toepassings kan laat neerstort of ontwrig normale gedrag.
  • CVE-2021-23839 is 'n fout in die implementering van terugrolbeskerming vir die gebruik van die SSLv2-protokol. Verskyn slegs in die ou tak 1.0.2.

Die vrystelling van die LibreSSL 3.2.4-pakket is ook gepubliseer, waarbinne die OpenBSD-projek 'n vurk van OpenSSL ontwikkel wat daarop gemik is om 'n hoër vlak van sekuriteit te verskaf. Die vrystelling is opvallend vir die terugkeer na die ou sertifikaatverifikasiekode wat in LibreSSL 3.1.x gebruik word as gevolg van 'n onderbreking in sommige toepassings met bindings om foute in die ou kode om te werk. Onder die innovasies is die toevoeging van implementerings van die uitvoerder- en motorkettingkomponente by TLSv1.3 uit.

Daarbenewens was daar 'n nuwe vrystelling van die kompakte kriptografiese biblioteek wolfSSL 4.7.0, geoptimaliseer vir gebruik op ingebedde toestelle met beperkte verwerker- en geheuebronne, soos Internet of Things-toestelle, slimhuisstelsels, motorinligtingstelsels, roeteerders en selfone . Die kode is in C-taal geskryf en onder die GPLv2-lisensie versprei.

Die nuwe weergawe bevat ondersteuning vir RFC 5705 (Keying Material Exporters for TLS) en S/MIME (Secure/Multipurpose Internet Mail Extensions). Bygevoeg "--enable-reproducible-build" vlag om reproduceerbare bouwerk te verseker. Die SSL_get_verify_mode API, X509_VERIFY_PARAM API en X509_STORE_CTX is by die laag gevoeg om versoenbaarheid met OpenSSL te verseker. Geïmplementeerde makro WOLFSSL_PSK_IDENTITY_ALERT. Het 'n nuwe funksie _CTX_NoTicketTLSv12 bygevoeg om TLS 1.2-sessiekaartjies te deaktiveer, maar bewaar dit vir TLS 1.3.

Bron: opennet.ru

Voeg 'n opmerking