ProHoster > Blog > internetske vijesti > Ažuriranje OpenSSL 1.1.1j, wolfSSL 4.7.0 i LibreSSL 3.2.4

Ažuriranje OpenSSL 1.1.1j, wolfSSL 4.7.0 i LibreSSL 3.2.4

Dostupno je izdanje za održavanje OpenSSL kriptografske knjižnice 1.1.1j, koje ispravlja dvije ranjivosti:

  • CVE-2021-23841 je NULL dereferencija pokazivača u funkciji X509_issuer_and_serial_hash(), koja može srušiti aplikacije koje pozivaju ovu funkciju za rukovanje X509 certifikatima s netočnom vrijednošću u polju izdavatelja.
  • CVE-2021-23840 je prekoračenje cijelog broja u funkcijama EVP_CipherUpdate, EVP_EncryptUpdate i EVP_DecryptUpdate koje može rezultirati vraćanjem vrijednosti 1, što ukazuje na uspješnu operaciju, i postavljanjem veličine na negativnu vrijednost, što može uzrokovati rušenje ili prekid aplikacije normalno ponašanje.
  • CVE-2021-23839 je greška u implementaciji zaštite od vraćanja za korištenje SSLv2 protokola. Pojavljuje se samo u staroj grani 1.0.2.

Objavljeno je i izdanje paketa LibreSSL 3.2.4 u sklopu kojeg OpenBSD projekt razvija fork OpenSSL-a s ciljem pružanja više razine sigurnosti. Izdanje je značajno po vraćanju na stari kod za provjeru certifikata korišten u LibreSSL 3.1.x zbog prekida u nekim aplikacijama s vezama za zaobilaženje grešaka u starom kodu. Među inovacijama ističe se dodavanje implementacija komponenti exporter i autochain na TLSv1.3.

Osim toga, pojavilo se novo izdanje kompaktne kriptografske knjižnice wolfSSL 4.7.0, optimizirane za korištenje na ugrađenim uređajima s ograničenim procesorskim i memorijskim resursima, kao što su uređaji Internet of Things, pametni kućni sustavi, automobilski informacijski sustavi, usmjerivači i mobilni telefoni . Kod je napisan u C jeziku i distribuiran pod GPLv2 licencom.

Nova verzija uključuje podršku za RFC 5705 (Keying Material Exporters for TLS) i S/MIME (Secure/Multipurpose Internet Mail Extensions). Dodana je oznaka "--enable-reproducible-build" kako bi se osigurale ponovljive gradnje. SSL_get_verify_mode API, X509_VERIFY_PARAM API i X509_STORE_CTX dodani su u sloj kako bi se osigurala kompatibilnost s OpenSSL-om. Implementirana makronaredba WOLFSSL_PSK_IDENTITY_ALERT. Dodana je nova funkcija _CTX_NoTicketTLSv12 za onemogućavanje ulaznica za sesiju TLS 1.2, ali ih sačuvati za TLS 1.3.

Izvor: opennet.ru

Dodajte komentar