Даступны карэкціруючы выпуск крыптаграфічнай бібліятэкі OpenSSL 1.1.1j, у якім ухілены дзве ўразлівасці:
- CVE-2021-23841 - разнайменаванне нулявога паказальніка ў функцыі X509_issuer_and_serial_hash(), якое можа прывесці да краху прыкладанняў, якія выклікаюць дадзеную функцыю для апрацоўкі сертыфікатаў X509 з некарэктным значэннем у поле issuer.
- CVE-2021-23840 - цэлалікавае перапаўненне ў функцыях EVP_CipherUpdate, EVP_EncryptUpdate і EVP_DecryptUpdate, вынікам якога можа быць вяртанне значэння 1, якое азначае паспяховае выкананне аперацыі, і ўстаноўка адмоўнага значэння з памерам, што можа прывесці да краху прыкладанняў або.
- CVE-2021-23839 - недапрацоўка ў рэалізацыі абароны ад адкату на выкарыстанне пратакола SSLv2. Выяўляецца толькі ў старой галінцы 1.0.2.
Таксама апублікаваны рэліз пакета LibreSSL 3.2.4, у рамках якога праект OpenBSD развівае форк OpenSSL, накіраваны на забеспячэнне больш высокага ўзроўня бяспекі. Выпуск характэрны зваротам на выкарыстанне старога кода верыфікацыі сертыфікатаў, выкарыстоўванага ў LibreSSL 3.1.x, з-за парушэння звычайнай працы некаторых прыкладанняў з прывязкамі для абыходу памылак у старым кодзе. З навін вылучаецца даданне ў TLSv1.3 рэалізацый кампанентаў exporter і autochain.
Акрамя таго, адбыўся новы выпуск кампактнай крыптаграфічнай бібліятэкі wolfSSL 4.7.0, аптымізаванай для выкарыстання на ўбудаваных прыладах з абмежаванымі рэсурсамі працэсара і памяці, такіх як прылады інтэрнэту рэчаў, сістэмы разумнай хаты, аўтамабільныя інфармацыйныя сістэмы, маршрутызатары і мабільныя тэлефоны. Код напісаны на мове Сі і распаўсюджваецца пад ліцэнзіяй GPLv2.
У новай версіі рэалізавана падтрымка RFC 5705 (Keying Material Exporters for TLS) і S/MIME (Secure/Multipurpose Internet Mail Extensions). Дададзены сцяг "-enable-reproducible-build" для забеспячэння паўтаральных зборак. У праслойку для забеспячэння сумяшчальнасці з OpenSSL дададзены API SSL_get_verify_mode, X509_VERIFY_PARAM API і X509_STORE_CTX. Рэалізаваны макрас WOLFSSL_PSK_IDENTITY_ALERT. Дададзена новая функцыя _CTX_NoTicketTLSv12 для адключэння сесійных тыкетаў TLS 1.2, але іх захаваннем для TLS 1.3.
Крыніца: opennet.ru