Rilis pemeliharaan perpustakaan kriptografi OpenSSL 1.1.1j tersedia, yang memperbaiki dua kerentanan:
- CVE-2021-23841 adalah dereferensi penunjuk NULL dalam fungsi X509_issuer_and_serial_hash(), yang dapat membuat aplikasi crash yang memanggil fungsi ini untuk menangani sertifikat X509 dengan nilai yang salah di bidang penerbit.
- CVE-2021-23840 adalah kelebihan bilangan bulat dalam fungsi EVP_CipherUpdate, EVP_EncryptUpdate, dan EVP_DecryptUpdate yang dapat menghasilkan nilai 1, yang menunjukkan operasi berhasil, dan menyetel ukuran ke nilai negatif, yang dapat menyebabkan aplikasi mogok atau terganggu perilaku normal.
- CVE-2021-23839 merupakan kelemahan dalam penerapan perlindungan rollback untuk penggunaan protokol SSLv2. Hanya muncul di cabang lama 1.0.2.
Rilis paket LibreSSL 3.2.4 juga telah diterbitkan, di mana proyek OpenBSD sedang mengembangkan cabang OpenSSL yang bertujuan untuk memberikan tingkat keamanan yang lebih tinggi. Rilis ini terkenal karena kembali ke kode verifikasi sertifikat lama yang digunakan di LibreSSL 3.1.x karena kerusakan pada beberapa aplikasi dengan pengikatan untuk mengatasi bug pada kode lama. Di antara inovasi tersebut, penambahan implementasi komponen eksportir dan autochain ke TLSv1.3 menonjol.
Selain itu, terdapat rilis baru perpustakaan kriptografi kompak wolfSSL 4.7.0, yang dioptimalkan untuk digunakan pada perangkat tertanam dengan sumber daya prosesor dan memori terbatas, seperti perangkat Internet of Things, sistem rumah pintar, sistem informasi otomotif, router, dan ponsel. . Kode ini ditulis dalam bahasa C dan didistribusikan di bawah lisensi GPLv2.
Versi baru ini mencakup dukungan untuk RFC 5705 (Pengekspor Bahan Kunci untuk TLS) dan S/MIME (Ekstensi Email Internet Aman/Serbaguna). Menambahkan tanda "--enable-reproducible-build" untuk memastikan build dapat direproduksi. SSL_get_verify_mode API, X509_VERIFY_PARAM API dan X509_STORE_CTX telah ditambahkan ke lapisan untuk memastikan kompatibilitas dengan OpenSSL. Makro yang diterapkan WOLFSSL_PSK_IDENTITY_ALERT. Menambahkan fungsi baru _CTX_NoTicketTLSv12 untuk menonaktifkan tiket sesi TLS 1.2, namun mempertahankannya untuk TLS 1.3.
Sumber: opennet.ru