Актуализация на OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4

Налично е издание за поддръжка на криптографската библиотека OpenSSL 1.1.1j, което коригира две уязвимости:

• CVE-2021-23841 е дереференция на указател NULL във функцията X509_issuer_and_serial_hash(), която може да доведе до срив на приложения, които извикват тази функция за обработка на сертификати X509 с неправилна стойност в полето за издател.
• CVE-2021-23840 е целочислено препълване във функциите EVP_CipherUpdate, EVP_EncryptUpdate и EVP_DecryptUpdate, което може да доведе до връщане на стойност 1, което показва успешна операция, и задаване на отрицателна стойност за размера, което може да доведе до срив или прекъсване на приложенията нормално поведение.
• CVE-2021-23839 е недостатък в изпълнението на защитата за връщане за използване на протокола SSLv2. Появява се само в стария клон 1.0.2.

Публикувано е и изданието на пакета LibreSSL 3.2.4, в рамките на който проектът OpenBSD разработва разклонение на OpenSSL, насочено към осигуряване на по-високо ниво на сигурност. Изданието се отличава с връщането към стария код за проверка на сертификата, използван в LibreSSL 3.1.x поради прекъсване на някои приложения с обвързвания за заобикаляне на грешки в стария код. Сред иновациите се откроява добавянето на внедрявания на компонентите за износ и автоверига към TLSv1.3.

В допълнение, имаше нова версия на компактната криптографска библиотека wolfSSL 4.7.0, оптимизирана за използване на вградени устройства с ограничен процесор и ресурси на паметта, като устройства за интернет на нещата, интелигентни домашни системи, автомобилни информационни системи, рутери и мобилни телефони . Кодът е написан на език C и се разпространява под лиценз GPLv2.

Новата версия включва поддръжка за RFC 5705 (износители на ключови материали за TLS) и S/MIME (сигурни/многофункционални разширения за интернет поща). Добавен е флаг „--enable-reproducible-build“, за да се осигурят възпроизводими компилации. SSL_get_verify_mode API, X509_VERIFY_PARAM API и X509_STORE_CTX са добавени към слоя, за да се осигури съвместимост с OpenSSL. Приложен макрос WOLFSSL_PSK_IDENTITY_ALERT. Добавена е нова функция _CTX_NoTicketTLSv12 за деактивиране на TLS 1.2 сесийни билети, но запазването им за TLS 1.3.

Източник: opennet.ru