Հասանելի է OpenSSL ծածկագրային գրադարանի 1.1.1j սպասարկման թողարկումը, որը շտկում է երկու խոցելիություն.
- CVE-2021-23841-ը NULL ցուցիչ է X509_issuer_and_serial_hash() ֆունկցիայի մեջ, որը կարող է խափանել հավելվածները, որոնք կանչում են այս ֆունկցիան թողարկողի դաշտում սխալ արժեք ունեցող X509 վկայագրերը մշակելու համար:
- CVE-2021-23840-ը EVP_CipherUpdate, EVP_EncryptUpdate և EVP_DecryptUpdate ֆունկցիաների ամբողջ թվի գերհոսք է, որը կարող է հանգեցնել 1 արժեքի վերադարձի, որը ցույց է տալիս հաջող գործողությունը և չափը սահմանում է բացասական արժեքի, ինչը կարող է առաջացնել հավելվածների խափանում կամ խափանում: նորմալ վարքագիծ.
- CVE-2021-23839-ը թերություն է SSLv2 արձանագրության օգտագործման հետադարձ պաշտպանության իրականացման մեջ: Հայտնվում է միայն հին մասնաճյուղում 1.0.2.
Հրապարակվել է նաև LibreSSL 3.2.4 փաթեթի թողարկումը, որի շրջանակներում OpenBSD նախագիծը մշակում է OpenSSL-ի պատառաքաղը՝ ուղղված անվտանգության ավելի բարձր մակարդակի ապահովմանը։ Թողարկումը նշանավոր է LibreSSL 3.1.x-ում օգտագործված վկայագրի հաստատման հին կոդին վերադարձնելու համար, քանի որ որոշ հավելվածներում խախտվել է հին կոդի վրիպակները վերացնելու հետ կապված կապեր: Նորարարություններից առանձնանում է արտահանողի և ավտոշղթայի բաղադրիչների ներդրման ավելացումը TLSv1.3-ին։
Բացի այդ, թողարկվել է wolfSSL 4.7.0 կոմպակտ ծածկագրային գրադարանի նոր թողարկումը, որը օպտիմիզացված է սահմանափակ պրոցեսորային և հիշողության ռեսուրսներով ներկառուցված սարքերում օգտագործելու համար, ինչպիսիք են իրերի ինտերնետ սարքերը, խելացի տան համակարգերը, ավտոմոբիլային տեղեկատվական համակարգերը, երթուղիչները և բջջային հեռախոսները: . Կոդը գրված է C լեզվով և տարածվում է GPLv2 լիցենզիայի ներքո:
Նոր տարբերակը ներառում է RFC 5705 (Keying Material Exporters for TLS) և S/MIME (Secure/Multipurpose Internet Mail Extensions) աջակցություն: Ավելացվեց «--enable-reproducible-build» դրոշը՝ վերարտադրելի կառուցումներ ապահովելու համար: SSL_get_verify_mode API-ը, X509_VERIFY_PARAM API-ն և X509_STORE_CTX-ն ավելացվել են շերտին՝ OpenSSL-ի հետ համատեղելիությունն ապահովելու համար: Իրականացված մակրո WOLFSSL_PSK_IDENTITY_ALERT: Ավելացրել է նոր գործառույթ _CTX_NoTicketTLSv12՝ անջատելու TLS 1.2 սեսիայի տոմսերը, բայց պահպանել դրանք TLS 1.3-ի համար:
Source: opennet.ru