Projekt LibreSSL oznámil vydání verze 4.3.0, která je nyní k dispozici na zrcadlech OpenBSD.
Toto je vývojové vydání pro verzi 4.3.x, takže vývojáři povzbuzují komunitu k jeho aktivnímu testování. Pro verzi 4.3 se neplánují žádné další změny API ani ABI.
Klíčovou novinkou této verze je podpora metody post-kvantové výměny klíčů MLKEM768_X25519 v TLS v souladu s dokumentem IETF draft-ietf-tls-ecdhe-mlkem. Byla opravena chyba typu „off-by-one“ v kontrole hloubky certifikátu X.509, která mohla vést k přepsání 4 bajtů v paměti při práci se škodlivým kódem. server nebo s povoleným ověřováním klientského certifikátu. Maximální hloubka je nyní omezena na 32. Problém objevila společnost Calif.io ve spolupráci s Claude a Anthropic Research.
Vnitřní vylepšení:
- Odebrány starší fragmenty kódu, které zbyly z podpory SSLv2 a SSLv3/TLS 1.0.
- Přepsána funkce ec_point_cmp().
- Do DH_check() byla přidána rychlá cesta pro známá DH prvočísla, včetně těch z RFC 7919.
Změny kompatibility:
- Odebráno mnoho nepoužívaných maker BN_* s neinformativními názvy (BN_LONG, BN_BITS4, BN_MASK2 atd.).
- Systém CMS v openssl(1) již neakceptuje nepodporované přepínače -compress a -uncompress.
- Přidán příznak PKCS7_NO_DUAL_CONTENT pro kompatibilní chování s některými jazykovými vazbami.
Oprava chyb:
- Opraveny úniky paměti v CMS_EncryptedData_encrypt() a nref_nos().
- Opraveno kódování bitových řetězců s ukončujícími nulami.
- Opraven pád aplikace při analýze odpovědí PKCS#12 a časových razítek.
- Opraveno mnoho chyb v knihovnách libtls (kontroly délky, konzistence chybových hlášení).
Ostatní:
- Do knihovny libssl byla přidána podpora pro algoritmus RSASSA-PSS s OID.
- Do veřejného API byly přidány funkce X509_VERIFY_PARAM_set_hostflags() a SSL_SESSION_dup().
- BIGNUM nyní používá standardní typy C99 (uint64_t/uint32_t), což opravuje problémy na 64bitové platformě. Windows.
Zdroj: linux.org.ru
