Está dispoñible unha versión de mantemento da biblioteca criptográfica OpenSSL 1.1.1j, que corrixe dúas vulnerabilidades:
- CVE-2021-23841 é unha desreferencia de punteiro NULL na función X509_issuer_and_serial_hash(), que pode bloquear as aplicacións que chaman a esta función para xestionar certificados X509 cun valor incorrecto no campo do emisor.
- CVE-2021-23840 é un desbordamento de número enteiro nas funcións EVP_CipherUpdate, EVP_EncryptUpdate e EVP_DecryptUpdate que pode provocar que se devolva un valor de 1, que indica unha operación exitosa e que axuste o tamaño a un valor negativo, o que pode provocar que as aplicacións se bloqueen ou interrompan. comportamento normal.
- CVE-2021-23839 é un fallo na implementación da protección contra reversión para o uso do protocolo SSLv2. Aparece só na rama antiga 1.0.2.
Tamén se publicou o lanzamento do paquete LibreSSL 3.2.4, dentro do cal o proxecto OpenBSD está a desenvolver un fork de OpenSSL destinado a proporcionar un maior nivel de seguridade. A versión destaca por volver ao código de verificación do certificado antigo usado en LibreSSL 3.1.x debido a unha interrupción nalgunhas aplicacións con enlaces para evitar erros no código antigo. Entre as novidades, destaca a incorporación de implementacións dos compoñentes exportador e autochain a TLSv1.3.
Ademais, houbo unha nova versión da biblioteca criptográfica compacta wolfSSL 4.7.0, optimizada para o seu uso en dispositivos integrados con procesadores e recursos de memoria limitados, como dispositivos de Internet das cousas, sistemas domésticos intelixentes, sistemas de información de automóbiles, enrutadores e teléfonos móbiles. . O código está escrito en linguaxe C e distribúese baixo a licenza GPLv2.
A nova versión inclúe soporte para RFC 5705 (Keying Material Exporters para TLS) e S/MIME (Extensións de correo de Internet seguras/multipurpose). Engadiuse a marca "--enable-reproducible-build" para garantir compilacións reproducibles. A API SSL_get_verify_mode, a API X509_VERIFY_PARAM e X509_STORE_CTX engadíronse á capa para garantir a compatibilidade con OpenSSL. Implementouse a macro WOLFSSL_PSK_IDENTITY_ALERT. Engadiuse unha nova función _CTX_NoTicketTLSv12 para desactivar os tickets de sesión de TLS 1.2, pero conservalos para TLS 1.3.
Fonte: opennet.ru