Je k dispozici servisní verze kryptografické knihovny OpenSSL 1.1.1j, která opravuje dvě zranitelnosti:
- CVE-2021-23841 je dereference ukazatele NULL ve funkci X509_issuer_and_serial_hash(), která může způsobit selhání aplikací, které volají tuto funkci pro zpracování certifikátů X509 s nesprávnou hodnotou v poli vydavatele.
- CVE-2021-23840 je přetečení celého čísla ve funkcích EVP_CipherUpdate, EVP_EncryptUpdate a EVP_DecryptUpdate, které může mít za následek vrácení hodnoty 1, což znamená úspěšnou operaci, a nastavení velikosti na zápornou hodnotu, což může způsobit selhání nebo přerušení aplikací. normální chování.
- CVE-2021-23839 je chyba v implementaci ochrany proti vrácení pro použití protokolu SSLv2. Zobrazuje se pouze ve staré větvi 1.0.2.
Bylo také zveřejněno vydání balíčku LibreSSL 3.2.4, v rámci kterého projekt OpenBSD vyvíjí fork OpenSSL zaměřený na poskytování vyšší úrovně zabezpečení. Vydání je pozoruhodné tím, že se vrací ke starému ověřovacímu kódu certifikátu používanému v LibreSSL 3.1.x kvůli přerušení některých aplikací s vazbami pro odstranění chyb ve starém kódu. Mezi novinkami vyniká přidání implementací komponent exportér a autochain do TLSv1.3.
Kromě toho byla vydána nová verze kompaktní kryptografické knihovny wolfSSL 4.7.0, optimalizovaná pro použití na vestavěných zařízeních s omezenými procesorovými a paměťovými zdroji, jako jsou zařízení internetu věcí, systémy pro chytré domácnosti, automobilové informační systémy, routery a mobilní telefony. . Kód je napsán v jazyce C a distribuován pod licencí GPLv2.
Nová verze obsahuje podporu pro RFC 5705 (Exportéry klíčových materiálů pro TLS) a S/MIME (Secure/Multipurpose Internet Mail Extensions). Přidán příznak "--enable-reproducible-build" pro zajištění reprodukovatelných sestav. Do vrstvy byly přidány SSL_get_verify_mode API, X509_VERIFY_PARAM API a X509_STORE_CTX, aby byla zajištěna kompatibilita s OpenSSL. Implementováno makro WOLFSSL_PSK_IDENTITY_ALERT. Přidána nová funkce _CTX_NoTicketTLSv12 pro zakázání lístků relace TLS 1.2, ale jejich zachování pro TLS 1.3.
Zdroj: opennet.ru