En vedligeholdelsesudgivelse af OpenSSL kryptografiske bibliotek 1.1.1j er tilgængelig, som løser to sårbarheder:
- CVE-2021-23841 er en NULL pointer-dereference i X509_issuer_and_serial_hash()-funktionen, som kan crashe programmer, der kalder denne funktion til at håndtere X509-certifikater med en forkert værdi i udstederfeltet.
- CVE-2021-23840 er et heltalsoverløb i funktionerne EVP_CipherUpdate, EVP_EncryptUpdate og EVP_DecryptUpdate, der kan resultere i at returnere en værdi på 1, hvilket indikerer en vellykket operation og indstille størrelsen til en negativ værdi, hvilket kan få applikationer til at gå ned eller forstyrre normal adfærd.
- CVE-2021-23839 er en fejl i implementeringen af rollback-beskyttelse for brugen af SSLv2-protokollen. Vises kun i den gamle gren 1.0.2.
Frigivelsen af LibreSSL 3.2.4-pakken er også blevet offentliggjort, inden for hvilken OpenBSD-projektet udvikler en fork af OpenSSL, der sigter mod at give et højere sikkerhedsniveau. Udgivelsen er bemærkelsesværdig for at vende tilbage til den gamle certifikatbekræftelseskode brugt i LibreSSL 3.1.x på grund af en pause i nogle applikationer med bindinger for at omgå fejl i den gamle kode. Blandt innovationerne skiller tilføjelsen af implementeringer af eksportør- og autochain-komponenterne til TLSv1.3 sig ud.
Derudover var der en ny udgivelse af det kompakte kryptografiske bibliotek wolfSSL 4.7.0, optimeret til brug på indlejrede enheder med begrænsede processor- og hukommelsesressourcer, såsom Internet of Things-enheder, smart home-systemer, bilinformationssystemer, routere og mobiltelefoner . Koden er skrevet på C-sprog og distribueres under GPLv2-licensen.
Den nye version inkluderer understøttelse af RFC 5705 (Keying Material Exporters for TLS) og S/MIME (Secure/Multipurpose Internet Mail Extensions). Tilføjet "--enable-reproducible-build" flag for at sikre reproducerbare builds. SSL_get_verify_mode API, X509_VERIFY_PARAM API og X509_STORE_CTX er blevet tilføjet laget for at sikre kompatibilitet med OpenSSL. Implementeret makro WOLFSSL_PSK_IDENTITY_ALERT. Tilføjet en ny funktion _CTX_NoTicketTLSv12 for at deaktivere TLS 1.2-sessionsbilletter, men bevare dem til TLS 1.3.
Kilde: opennet.ru