Saadaval on OpenSSL 1.1.1j krĂŒptograafia teegi korrektsioonia vĂ€ljalase, milles on likvideeritud kaks haavatavust:
- CVE-2021-23841 â tĂŒhja nĂ€itaja dereferentseerimine funktsioonis X509_issuer_and_serial_hash(), mis vĂ”ib pĂ”hjustada rakenduste kokkuvarisemise, kui need kutsuvad seda funktsiooni X509 sertifikaatide töötlemiseks, mille issuer vĂ€li on vale vÀÀrtusega.
- CVE-2021-23840 â tĂ€isarvude ĂŒlevool funktsioonides EVP_CipherUpdate, EVP_EncryptUpdate ja EVP_DecryptUpdate, mille tulemuseks vĂ”ib olla vÀÀrtuse 1 tagastamine, mis tĂ€hendab operatsiooni eduka lĂ”puleviimist, ja negatiivse suuruse seadmine, mis vĂ”ib pĂ”hjustada rakenduste kokkuvarisemise vĂ”i normaalsete toimingute riknemise.
- CVE-2021-23839 â puudujÀÀk SSLv2 protokolli kasutusele vĂ”tva kaitse elluviimisel. Ilmneb ainult vanas haruversioonis 1.0.2.
Samuti on avaldatud LibreSSL 3.2.4 paketi versioon, mille raames arendab OpenBSD projekt OpenSSL'i haru, mille eesmĂ€rk on pakkuda kĂ”rgemat turvalisuse taset. Avaldamine on tĂ€helepanuvÀÀrne, kuna vanade sertifikaatide kontrollimise koodi tagasipöördumine LibreSSL 3.1.x-st, sest see hĂ€iris mĂ”nede rakenduste normaalset toimimist, mis tuginesid vanade koodifragmentide vigade ĂŒmberhĂŒpetele. Uuendustest tuleb esile tuua TLSv1.3 komponentide exporter ja autochain implementatsioonide lisamine.
Lisaks ilmus uus wolfSSL 4.7.0 kompaktne krĂŒptograafia teek, mis on optimeeritud töötamiseks vĂ€ikeettevĂ”tete seadmetes, millel on piiratud protsessori ja mĂ€lu ressursid, nĂ€iteks asjade interneti seadmed, nutikodu sĂŒsteemid, autoinformatsioonisĂŒsteemid, ruuterid ja mobiiltelefonid. Kood on kirjutatud C keeles ja seda levitatakse GPLv2 litsentsi alusel.
Uues versioonis on rakendatud RFC 5705 (TLS-i vĂ”tmehalduse eksportöörid) ja S/MIME (turvalised/mitmekesised Interneti meililaiendid). Lisatud on lipp ââenable-reproducible-buildâ, et tagada korduvate ehituste saamine. OpenSSL-iga ĂŒhilduvuse tagamiseks on lisatud API-d SSL_get_verify_mode, X509_VERIFY_PARAM API ja X509_STORE_CTX. Rakendatud on makro WOLFSSL_PSK_IDENTITY_ALERT. Uus funktsioon _CTX_NoTicketTLSv12 on lisatud TLS 1.2 sessioonipiletite keelamiseks, samas kui sessioonipiletid TLS 1.3 jaoks jÀÀvad alles.
Allikas: opennet.ru
