Viðhaldsútgáfa af OpenSSL dulritunarsafninu 1.1.1j er fáanleg, sem lagar tvo veikleika:
- CVE-2021-23841 er NULL bendill frávísun í X509_issuer_and_serial_hash() aðgerðinni, sem getur hrundið forritum sem kalla þessa aðgerð til að meðhöndla X509 vottorð með rangt gildi í útgefandareitnum.
- CVE-2021-23840 er heiltöluflæði í aðgerðunum EVP_CipherUpdate, EVP_EncryptUpdate og EVP_DecryptUpdate sem getur leitt til þess að skila gildinu 1, sem gefur til kynna árangursríka aðgerð og stilla stærðina á neikvætt gildi, sem getur valdið því að forrit hrynji eða truflar eðlileg hegðun.
- CVE-2021-23839 er galli í innleiðingu afturköllunarverndar fyrir notkun SSLv2 samskiptareglunnar. Kemur aðeins fyrir í gömlu greininni 1.0.2.
Útgáfa LibreSSL 3.2.4 pakkans hefur einnig verið gefin út, þar sem OpenBSD verkefnið er að þróa gaffal af OpenSSL sem miðar að því að veita hærra öryggi. Útgáfan er áberandi fyrir að fara aftur í gamla vottorðsstaðfestingarkóðann sem notaður var í LibreSSL 3.1.x vegna bilunar í sumum forritum með bindingum til að vinna í kringum villur í gamla kóðanum. Meðal nýjunga er viðbót við útfærslur á útflytjanda og sjálfvirka keðjuhlutum við TLSv1.3 áberandi.
Að auki var ný útgáfa af hinu þétta dulritunarsafninu wolfSSL 4.7.0, fínstillt til notkunar á innbyggðum tækjum með takmarkaða örgjörva og minnisauðlindir, svo sem Internet of Things tæki, snjallheimakerfi, upplýsingakerfi fyrir bíla, beinar og farsíma. . Kóðinn er skrifaður á C tungumáli og dreift undir GPLv2 leyfinu.
Nýja útgáfan inniheldur stuðning fyrir RFC 5705 (Keying Material Exporters for TLS) og S/MIME (Secure/Multipurpose Internet Mail Extensions). Bætt við "--enable-reproducible-build" fána til að tryggja endurskapanlegar byggingar. SSL_get_verify_mode API, X509_VERIFY_PARAM API og X509_STORE_CTX hefur verið bætt við lagið til að tryggja eindrægni við OpenSSL. Útfært fjölva WOLFSSL_PSK_IDENTITY_ALERT. Bætti við nýrri aðgerð _CTX_NoTicketTLSv12 til að slökkva á TLS 1.2 lotumiðum, en varðveita þá fyrir TLS 1.3.
Heimild: opennet.ru