ProHoster > blog > notizie internet > Aggiornamento di OpenSSL 1.1.1j, wolfSSL 4.7.0 e LibreSSL 3.2.4

Aggiornamento di OpenSSL 1.1.1j, wolfSSL 4.7.0 e LibreSSL 3.2.4

È disponibile una versione di manutenzione della libreria crittografica OpenSSL 1.1.1j, che risolve due vulnerabilità:

  • CVE-2021-23841 è un dereferenziamento del puntatore NULL nella funzione X509_issuer_and_serial_hash(), che può causare l'arresto anomalo delle applicazioni che chiamano questa funzione per gestire i certificati X509 con un valore errato nel campo dell'emittente.
  • CVE-2021-23840 è un overflow di numeri interi nelle funzioni EVP_CipherUpdate, EVP_EncryptUpdate e EVP_DecryptUpdate che può restituire un valore pari a 1, indicando un'operazione riuscita e impostando la dimensione su un valore negativo, che può causare l'arresto anomalo o l'interruzione delle applicazioni comportamento normale.
  • CVE-2021-23839 è un difetto nell'implementazione della protezione rollback per l'utilizzo del protocollo SSLv2. Appare solo nel vecchio ramo 1.0.2.

È stato inoltre pubblicato il rilascio del pacchetto LibreSSL 3.2.4, all'interno del quale il progetto OpenBSD sta sviluppando un fork di OpenSSL volto a fornire un livello di sicurezza più elevato. Il rilascio è degno di nota per il ripristino del vecchio codice di verifica del certificato utilizzato in LibreSSL 3.1.x a causa di un'interruzione in alcune applicazioni con collegamenti per aggirare i bug nel vecchio codice. Tra le novità spicca l'aggiunta delle implementazioni dei componenti esportatore e autochain a TLSv1.3.

Inoltre, è stata rilasciata una nuova versione della libreria crittografica compatta wolfSSL 4.7.0, ottimizzata per l'uso su dispositivi embedded con risorse limitate di processore e memoria, come dispositivi Internet of Things, sistemi smart home, sistemi informativi automobilistici, router e telefoni cellulari . Il codice è scritto in linguaggio C e distribuito sotto licenza GPLv2.

La nuova versione include il supporto per RFC 5705 (Keying Material Exporters for TLS) e S/MIME (Secure/Multi Purpose Internet Mail Extensions). Aggiunto il flag "--enable-reproducible-build" per garantire build riproducibili. L'API SSL_get_verify_mode, l'API X509_VERIFY_PARAM e X509_STORE_CTX sono state aggiunte al livello per garantire la compatibilità con OpenSSL. Macro implementata WOLFSSL_PSK_IDENTITY_ALERT. Aggiunta una nuova funzione _CTX_NoTicketTLSv12 per disabilitare i ticket di sessione TLS 1.2, ma preservarli per TLS 1.3.

Fonte: opennet.ru

Aggiungi un commento