Update für OpenSSL 1.1.1j, wolfSSL 4.7.0 und LibreSSL 3.2.4

Eine korrigierte Version der kryptografischen Bibliothek OpenSSL 1.1.1j ist verfügbar, welche zwei Sicherheitsanfälligkeiten behoben hat:

  • CVE-2021-23841 — Dereferenzierung eines Nullzeigers in der Funktion X509_issuer_and_serial_hash(), die zu einem Absturz von Anwendungen führen kann, die diese Funktion zur Verarbeitung von X509-Zertifikaten mit ungültigen Werten im Feld 'issuer' aufrufen.
  • CVE-2021-23840 — Integer-Überlauf in den Funktionen EVP_CipherUpdate, EVP_EncryptUpdate und EVP_DecryptUpdate, dessen Ergebnis die Rückgabe des Wertes 1 bedeutet, was einen erfolgreichen Abschluss der Operation signalisiert, während gleichzeitig ein negatives Wert mit einer Größe gesetzt wird, was zu Abstürzen von Anwendungen oder einem abnormalen Verhalten führen kann.
  • CVE-2021-23839 — Mangelhafte Implementierung des Schutzes vor Downgrade-Angriffen auf das SSLv2-Protokoll. Tritt nur in der alten Version 1.0.2 auf.

Es wurde ebenfalls die Version 3.2.4 des LibreSSL-Pakets veröffentlicht, in dessen Rahmen das OpenBSD-Projekt einen Fork von OpenSSL entwickelt, der auf ein höheres Sicherheitsniveau abzielt. Die Veröffentlichung ist bemerkenswert, da sie zur Verwendung des alten Codes zur Zertifikatsverifikation zurückkehrt, der in LibreSSL 3.1.x verwendet wurde, da einige Anwendungen mit Störungen aufgrund von Fehlerumgehungen im alten Code nicht ordnungsgemäß funktionierten. Zu den Neuerungen gehört die Implementierung der Komponenten exporter und autochain in TLSv1.3.

Darüber hinaus wurde die neue Version 4.7.0 der kompakten Kryptografiebibliothek wolfSSL veröffentlicht, die für den Einsatz auf eingebetteten Geräten mit begrenzten CPU- und Speicherkapazitäten optimiert ist, wie z. B. Internet-of-Things-Geräte, Smart-Home-Systeme, automobile Informationssysteme, Router und Mobiltelefone. Der Code ist in C geschrieben und steht unter der GPLv2-Lizenz.

Die neue Version unterstützt RFC 5705 (Keying Material Exporters für TLS) und S/MIME (Secure/Multipurpose Internet Mail Extensions). Ein Flag "--enable-reproducible-build" wurde hinzugefügt, um reproduzierbare Builds zu gewährleisten. In die Kompatibilitätsschicht für OpenSSL wurden die API SSL_get_verify_mode, die X509_VERIFY_PARAM API und der X509_STORE_CTX integriert. Das Makro WOLFSSL_PSK_IDENTITY_ALERT wurde implementiert. Eine neue Funktion _CTX_NoTicketTLSv12 wurde hinzugefügt, um die Sitzungstickets für TLS 1.2 zu deaktivieren, während sie für TLS 1.3 beibehalten werden.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster