ProHoster > blog > newyddion rhyngrwyd > Diweddariad OpenSSL 1.1.1j, wolfSSL 4.7.0 a LibreSSL 3.2.4

Diweddariad OpenSSL 1.1.1j, wolfSSL 4.7.0 a LibreSSL 3.2.4

Mae datganiad cynnal a chadw o lyfrgell cryptograffig OpenSSL 1.1.1j ar gael, sy'n trwsio dau wendid:

  • Mae CVE-2021-23841 yn gyfeiriad pwyntydd NULL yn y swyddogaeth X509_issuer_and_serial_hash(), sy'n gallu chwalu rhaglenni sy'n galw'r swyddogaeth hon i drin tystysgrifau X509 sydd Γ’ gwerth anghywir ym maes y cyhoeddwr.
  • Mae CVE-2021-23840 yn orlif cyfanrif yn y swyddogaethau EVP_CipherUpdate, EVP_EncryptUpdate, ac EVP_DecryptUpdate a all arwain at ddychwelyd gwerth o 1, gan nodi gweithrediad llwyddiannus, a gosod y maint i werth negyddol, a all achosi i geisiadau chwalu neu darfu ymddygiad arferol.
  • Mae CVE-2021-23839 yn ddiffyg wrth weithredu amddiffyniad treigl yn Γ΄l ar gyfer defnyddio'r protocol SSLv2. Yn ymddangos yn yr hen gangen yn unig 1.0.2.

Mae rhyddhau pecyn LibreSSL 3.2.4 hefyd wedi'i gyhoeddi, lle mae'r prosiect OpenBSD yn datblygu fforc o OpenSSL gyda'r nod o ddarparu lefel uwch o ddiogelwch. Mae'r datganiad yn nodedig am ddychwelyd i'r hen god dilysu tystysgrif a ddefnyddiwyd yn LibreSSL 3.1.x oherwydd toriad mewn rhai cymwysiadau gyda rhwymiadau i weithio o amgylch bygiau yn yr hen god. Ymhlith y datblygiadau arloesol, mae ychwanegu gweithrediadau'r cydrannau allforiwr a autochain i TLSv1.3 yn amlwg.

Yn ogystal, cafwyd datganiad newydd o'r llyfrgell cryptograffig gryno wolfSSL 4.7.0, wedi'i optimeiddio i'w ddefnyddio ar ddyfeisiau wedi'u mewnosod gydag adnoddau prosesydd a chof cyfyngedig, megis dyfeisiau Rhyngrwyd Pethau, systemau cartref craff, systemau gwybodaeth modurol, llwybryddion a ffonau symudol . Mae'r cod wedi'i ysgrifennu yn iaith C a'i ddosbarthu o dan y drwydded GPLv2.

Mae'r fersiwn newydd yn cynnwys cefnogaeth i RFC 5705 (Allforwyr Deunydd Allweddol ar gyfer TLS) ac S/MIME (Estyniadau Post Rhyngrwyd Diogel/Aml-bwrpas). Ychwanegwyd baner "--enable-reproducible-build" i sicrhau adeiladau atgynhyrchadwy. Mae'r SSL_get_verify_mode API, X509_VERIFY_PARAM API a X509_STORE_CTX wedi'u hychwanegu at yr haen i sicrhau eu bod yn gydnaws ag OpenSSL. Gweithredwyd macro WOLFSSL_PSK_IDENTITY_ALERT. Ychwanegwyd swyddogaeth newydd _CTX_NoTicketTLSv12 i analluogi tocynnau sesiwn TLS 1.2, ond cadwch nhw ar gyfer TLS 1.3.

Ffynhonnell: opennet.ru

Ychwanegu sylw