Es ist eine Wartungsversion der OpenSSL-Kryptografiebibliothek 1.1.1j verfügbar, die zwei Schwachstellen behebt:
- CVE-2021-23841 ist eine NULL-Zeiger-Dereferenzierung in der Funktion X509_issuer_and_serial_hash(), die zum Absturz von Anwendungen führen kann, die diese Funktion aufrufen, um X509-Zertifikate mit einem falschen Wert im Ausstellerfeld zu verarbeiten.
- CVE-2021-23840 ist ein ganzzahliger Überlauf in den Funktionen EVP_CipherUpdate, EVP_EncryptUpdate und EVP_DecryptUpdate, der dazu führen kann, dass der Wert 1 zurückgegeben wird, was auf einen erfolgreichen Vorgang hinweist, und die Größe auf einen negativen Wert gesetzt wird, was zum Absturz oder zur Unterbrechung von Anwendungen führen kann normales Verhalten.
- CVE-2021-23839 ist ein Fehler in der Implementierung des Rollback-Schutzes für die Verwendung des SSLv2-Protokolls. Erscheint nur im alten Zweig 1.0.2.
Außerdem wurde die Veröffentlichung des LibreSSL 3.2.4-Pakets veröffentlicht, in dessen Rahmen das OpenBSD-Projekt einen Fork von OpenSSL entwickelt, der ein höheres Maß an Sicherheit bieten soll. Die Veröffentlichung zeichnet sich dadurch aus, dass auf den alten Zertifikatsüberprüfungscode zurückgegriffen wird, der in LibreSSL 3.1.x verwendet wird, da in einigen Anwendungen eine Unterbrechung der Bindungen zur Umgehung von Fehlern im alten Code aufgetreten ist. Unter den Neuerungen sticht die Hinzufügung von Implementierungen der Exporter- und Autochain-Komponenten zu TLSv1.3 hervor.
Darüber hinaus gab es eine neue Version der kompakten kryptografischen Bibliothek wolfSSL 4.7.0, optimiert für den Einsatz auf eingebetteten Geräten mit begrenzten Prozessor- und Speicherressourcen, wie z. B. Internet-of-Things-Geräten, Smart-Home-Systemen, Automobil-Informationssystemen, Routern und Mobiltelefonen . Der Code ist in der Sprache C geschrieben und wird unter der GPLv2-Lizenz vertrieben.
Die neue Version umfasst Unterstützung für RFC 5705 (Keying Material Exporters for TLS) und S/MIME (Secure/Multipose Internet Mail Extensions). Flag „--enable-reproducible-build“ hinzugefügt, um reproduzierbare Builds sicherzustellen. Die API SSL_get_verify_mode, die API X509_VERIFY_PARAM und X509_STORE_CTX wurden der Ebene hinzugefügt, um die Kompatibilität mit OpenSSL sicherzustellen. Makro WOLFSSL_PSK_IDENTITY_ALERT implementiert. Es wurde eine neue Funktion _CTX_NoTicketTLSv12 hinzugefügt, um TLS 1.2-Sitzungstickets zu deaktivieren, sie aber für TLS 1.3 beizubehalten.
Source: opennet.ru