Tha sgaoileadh cumail suas de leabharlann criptografach OpenSSL 1.1.1j ri fhaighinn, a shocraicheas dà chugallachd:
- Tha CVE-2021-23841 na iar-iomradh puing NULL anns a’ ghnìomh X509_issuer_and_serial_hash(), a dh’ fhaodas tuisleadh air tagraidhean a chanas an gnìomh seo gus teisteanasan X509 le luach ceàrr a làimhseachadh ann an raon an fhoillsichear.
- Tha CVE-2021-23840 na thar-shruth iomlan anns na gnìomhan EVP_CipherUpdate, EVP_EncryptUpdate, agus EVP_DecryptUpdate a dh’ fhaodadh luach 1 a thoirt air ais, a ’nochdadh gnìomhachd soirbheachail, agus a’ suidheachadh a ’mheud gu luach àicheil, a dh’ fhaodadh tagraidhean tuiteam no dragh a chuir orra. giùlan àbhaisteach.
- Tha CVE-2021-23839 na locht ann a bhith a’ buileachadh dìon roiligeadh air ais airson cleachdadh protocol SSLv2. A 'nochdadh a-mhàin anns an t-seann mheur 1.0.2.
Chaidh sgaoileadh a’ phacaid LibreSSL 3.2.4 fhoillseachadh cuideachd, anns a bheil am pròiseact OpenBSD a’ leasachadh forc de OpenSSL a tha ag amas air ìre tèarainteachd nas àirde a thoirt seachad. Tha an naidheachd ainmeil airson a dhol air ais chun t-seann chòd dearbhaidh teisteanais a chaidh a chleachdadh ann an LibreSSL 3.1.x air sgàth briseadh ann an cuid de thagraidhean le ceanglachan gus obrachadh timcheall air biastagan san t-seann chòd. Am measg nan innleachdan, tha cur an gnìomh co-phàirtean às-mhalairt agus autochain gu TLSv1.3 a’ seasamh a-mach.
A bharrachd air an sin, chaidh fhoillseachadh ùr den leabharlann criptografach teann wolfSSL 4.7.0, air a bharrrachadh airson a chleachdadh air innealan freumhaichte le goireasan pròiseasar is cuimhne cuibhrichte, leithid innealan Internet of Things, siostaman dachaigh smart, siostaman fiosrachaidh chàraichean, routers agus fònaichean-làimhe. . Tha an còd sgrìobhte ann an cànan C agus air a chuairteachadh fo chead GPLv2.
Tha an dreach ùr a’ toirt a-steach taic airson RFC 5705 (Prìomh às-mhalairt stuthan airson TLS) agus S / MIME (Leudachain Post Eadar-lìn tèarainte / ioma-adhbhar). Chaidh bratach “--enable-reproducible-build” a chur ris gus dèanamh cinnteach gun tèid ath-riochdachadh a thogail. Chaidh an SSL_get_verify_mode API, X509_VERIFY_PARAM API agus X509_STORE_CTX a chur ris an t-sreath gus dèanamh cinnteach gu bheil iad co-chòrdail le OpenSSL. Macro WOLFSSL_PSK_IDENTITY_ALERT air a chur an gnìomh. Chaidh gnìomh ùr a chuir ris _CTX_NoTicketTLSv12 gus tiogaidean seisean TLS 1.2 a chuir dheth, ach an glèidheadh airson TLS 1.3.
Source: fosgailtenet.ru