ProHoster > Blog > noticias de internet > Actualización de OpenSSL 1.1.1j, wolfSSL 4.7.0 y LibreSSL 3.2.4

Actualización de OpenSSL 1.1.1j, wolfSSL 4.7.0 y LibreSSL 3.2.4

Está disponible una versión de mantenimiento de la biblioteca criptográfica OpenSSL 1.1.1j, que corrige dos vulnerabilidades:

  • CVE-2021-23841 es una desreferencia de puntero NULL en la función X509_issuer_and_serial_hash(), que puede bloquear las aplicaciones que llaman a esta función para manejar certificados X509 con un valor incorrecto en el campo del emisor.
  • CVE-2021-23840 es un desbordamiento de enteros en las funciones EVP_CipherUpdate, EVP_EncryptUpdate y EVP_DecryptUpdate que puede provocar que se devuelva un valor de 1, lo que indica una operación exitosa y que se establezca el tamaño en un valor negativo, lo que puede provocar que las aplicaciones colapsen o interrumpan. comportamiento normal.
  • CVE-2021-23839 es una falla en la implementación de la protección de reversión para el uso del protocolo SSLv2. Aparece sólo en la antigua rama 1.0.2.

También se ha publicado el lanzamiento del paquete LibreSSL 3.2.4, dentro del cual el proyecto OpenBSD está desarrollando una bifurcación de OpenSSL destinada a proporcionar un mayor nivel de seguridad. La versión se destaca por volver al antiguo código de verificación de certificado utilizado en LibreSSL 3.1.x debido a una interrupción en algunas aplicaciones con enlaces para solucionar errores en el código antiguo. Entre las innovaciones destaca la incorporación de implementaciones de los componentes exportador y autochain a TLSv1.3.

Además, hubo una nueva versión de la biblioteca criptográfica compacta wolfSSL 4.7.0, optimizada para su uso en dispositivos integrados con procesador y recursos de memoria limitados, como dispositivos de Internet de las cosas, sistemas domésticos inteligentes, sistemas de información para automóviles, enrutadores y teléfonos móviles. . El código está escrito en lenguaje C y distribuido bajo la licencia GPLv2.

La nueva versión incluye soporte para RFC 5705 (Exportadores de materiales de claves para TLS) y S/MIME (Extensiones de correo de Internet seguras/multipropósito). Se agregó el indicador "--enable-reproducible-build" para garantizar compilaciones reproducibles. La API SSL_get_verify_mode, la API X509_VERIFY_PARAM y X509_STORE_CTX se han agregado a la capa para garantizar la compatibilidad con OpenSSL. Macro implementada WOLFSSL_PSK_IDENTITY_ALERT. Se agregó una nueva función _CTX_NoTicketTLSv12 para deshabilitar los tickets de sesión de TLS 1.2, pero conservarlos para TLS 1.3.

Fuente: opennet.ru

Añadir un comentario