Megjelent az OpenSSL kriptográfiai könyvtár 1.1.1j karbantartási kiadása, amely két sebezhetőséget javít ki:
- A CVE-2021-23841 egy NULL mutató hivatkozás az X509_issuer_and_serial_hash() függvényben, amely összeomolhatja azokat az alkalmazásokat, amelyek ezt a függvényt hívják a kibocsátó mezőben helytelen értékű X509 tanúsítványok kezelésére.
- A CVE-2021-23840 egy egész szám túlcsordulás az EVP_CipherUpdate, EVP_EncryptUpdate és EVP_DecryptUpdate függvényekben, amely 1-es értéket ad vissza, jelezve a sikeres műveletet, és a méretet negatív értékre állítja, ami az alkalmazások összeomlását vagy megszakítását okozhatja. normális viselkedés.
- A CVE-2021-23839 hiba az SSLv2 protokoll használatára vonatkozó visszaállítási védelem megvalósításában. Csak a régi 1.0.2 ágban jelenik meg.
Megjelent a LibreSSL 3.2.4-es csomag kiadása is, melyen belül az OpenBSD projekt az OpenSSL forkját fejleszti, melynek célja a magasabb szintű biztonság biztosítása. A kiadás figyelemre méltó, hogy visszatért a LibreSSL 3.1.x-ben használt régi tanúsítvány-ellenőrző kódhoz, mivel néhány alkalmazás megszakadt a régi kód hibáinak kiküszöbölése érdekében. Az újítások közül kiemelkedik az exportőr és az autochain komponensek implementációinak hozzáadása a TLSv1.3-hoz.
Ezenkívül megjelent a wolfSSL 4.7.0 kompakt kriptográfiai könyvtár új kiadása, amelyet korlátozott processzor- és memóriaerőforrásokkal rendelkező beágyazott eszközökön való használatra optimalizáltak, mint például a dolgok internetes eszközei, intelligens otthoni rendszerek, autóipari információs rendszerek, útválasztók és mobiltelefonok. . A kód C nyelven íródott, és a GPLv2 licenc alatt kerül terjesztésre.
Az új verzió támogatja az RFC 5705-öt (Keying Material Exporters for TLS) és az S/MIME-t (Secure/Multipurpose Internet Mail Extensions). Hozzáadott "--enable-reproducible-build" jelző a reprodukálható buildek biztosításához. Az SSL_get_verify_mode API, az X509_VERIFY_PARAM API és az X509_STORE_CTX hozzáadásra került a réteghez az OpenSSL-lel való kompatibilitás biztosítása érdekében. Implementált makró WOLFSSL_PSK_IDENTITY_ALERT. Hozzáadott egy új _CTX_NoTicketTLSv12 funkciót, amely letiltja a TLS 1.2 munkamenetjegyeket, de megőrzi azokat a TLS 1.3 számára.
Forrás: opennet.ru