ProHoster > Блог > interretaj novaĵoj > Ĝisdatigo de OpenSSL 1.1.1j, wolfSSL 4.7.0 kaj LibreSSL 3.2.4

Ĝisdatigo de OpenSSL 1.1.1j, wolfSSL 4.7.0 kaj LibreSSL 3.2.4

Prizorga eldono de la kriptografa biblioteko OpenSSL 1.1.1j estas disponebla, kiu riparas du vundeblecojn:

  • CVE-2021-23841 estas NULL-montrila dereferenco en la funkcio X509_issuer_and_serial_hash(), kiu povas kraŝi aplikaĵojn, kiuj vokas ĉi tiun funkcion por trakti X509-atestojn kun malĝusta valoro en la eldonkampo.
  • CVE-2021-23840 estas entjera superfluo en la funkcioj EVP_CipherUpdate, EVP_EncryptUpdate kaj EVP_DecryptUpdate, kiuj povas rezultigi valoron de 1, indikante sukcesan operacion kaj agordi la grandecon al negativa valoro, kio povas kaŭzi kraŝon aŭ interrompi aplikojn. normala konduto.
  • CVE-2021-23839 estas difekto en la efektivigo de retroira protekto por la uzo de la protokolo SSLv2. Aperas nur en la malnova branĉo 1.0.2.

La liberigo de la LibreSSL 3.2.4 pakaĵo ankaŭ estis publikigita, ene de kiu la OpenBSD-projekto disvolvas forkon de OpenSSL celanta provizi pli altan nivelon de sekureco. La eldono estas rimarkinda pro reveni al la malnova atestila konfirmkodo uzata en LibreSSL 3.1.x pro paŭzo en iuj aplikaĵoj kun ligoj por trakti cimojn en la malnova kodo. Inter la novigoj, elstaras la aldono de efektivigoj de la eksportantaj kaj aŭtoĉenaj komponantoj al TLSv1.3.

Krome, estis nova eldono de la kompakta kriptografa biblioteko wolfSSL 4.7.0, optimumigita por uzo sur enkonstruitaj aparatoj kun limigitaj procesoroj kaj memorresursoj, kiel Interreto de Aĵoj-aparatoj, inteligentaj hejmaj sistemoj, aŭtomobilaj informsistemoj, enkursigiloj kaj poŝtelefonoj. . La kodo estas skribita en C-lingvo kaj distribuita sub la permesilo GPLv2.

La nova versio inkluzivas subtenon por RFC 5705 (Keying Material Exporters por TLS) kaj S/MIME (Secure/Multipurpose Internet Mail Extensions). Aldonita "--enable-reproducible-build" flago por certigi reprodukteblajn konstruojn. La SSL_get_verify_mode API, X509_VERIFY_PARAM API kaj X509_STORE_CTX estis aldonitaj al la tavolo por certigi kongruon kun OpenSSL. Implementita makroo WOLFSSL_PSK_IDENTITY_ALERT. Aldonis novan funkcion _CTX_NoTicketTLSv12 por malŝalti TLS 1.2-sesiobiletojn, sed konservi ilin por TLS 1.3.

fonto: opennet.ru

Aldoni komenton