OpenSSL криптограф номын сангийн 1.1.1j засвар үйлчилгээний хувилбар гарсан бөгөөд энэ нь хоёр сул талыг засдаг:
- CVE-2021-23841 нь X509_issuer_and_serial_hash() функц дэх NULL заагч заагч бөгөөд гаргагчийн талбарт буруу утгатай X509 сертификатуудыг зохицуулахын тулд энэ функцийг дууддаг програмуудыг сүйрүүлж болно.
- CVE-2021-23840 нь EVP_CipherUpdate, EVP_EncryptUpdate, EVP_DecryptUpdate функцүүдийн бүхэл тоон халилт бөгөөд үр дүнд нь 1-ийн утгыг буцаах, амжилттай ажиллагааг илтгэх, хэмжээг сөрөг утга болгон тохируулах зэрэг нь програмуудыг сүйрүүлэх, тасалдуулахад хүргэдэг. хэвийн зан байдал.
- CVE-2021-23839 нь SSLv2 протоколыг ашиглахын тулд буцаах хамгаалалтыг хэрэгжүүлэхэд гарсан алдаа юм. Зөвхөн хуучин салбар 1.0.2-д харагдана.
LibreSSL 3.2.4 багцын хувилбар мөн хэвлэгдсэн бөгөөд үүний хүрээнд OpenBSD төсөл нь илүү өндөр түвшний аюулгүй байдлыг хангах зорилготой OpenSSL-ийн салаа хөгжүүлж байна. Энэ хувилбар нь хуучин кодын алдааг арилгахын тулд холболттой зарим аппликешнүүдийн завсарлагааны улмаас LibreSSL 3.1.x-д ашигласан хуучин гэрчилгээ баталгаажуулах код руу буцсанаараа онцлог юм. Шинэлэг зүйлүүдийн дотроос TLSv1.3-т экспортлогч болон авточейн бүрэлдэхүүн хэсгүүдийн хэрэгжилтийг нэмж оруулсан нь онцгой юм.
Нэмж дурдахад Интернэт зүйлсийн төхөөрөмж, ухаалаг гэрийн систем, автомашины мэдээллийн систем, чиглүүлэгч, гар утас зэрэг хязгаарлагдмал процессор болон санах ойн нөөц бүхий суулгагдсан төхөөрөмжүүдэд ашиглахад оновчтой болгосон wolfSSL 4.7.0 компакт криптограф номын сангийн шинэ хувилбар гарсан. . Код нь Си хэл дээр бичигдсэн бөгөөд GPLv2 лицензийн дагуу түгээгддэг.
Шинэ хувилбар нь RFC 5705 (Keying Material Exporters for TLS) болон S/MIME (Secure/Multipurpose Internet Mail Extensions)-ийн дэмжлэгийг агуулдаг. Дахин давтагдах боломжтой бүтцийг баталгаажуулахын тулд "--enable-reproducible-build" гэсэн тугийг нэмсэн. OpenSSL-тэй нийцтэй байдлыг хангах үүднээс SSL_get_verify_mode API, X509_VERIFY_PARAM API болон X509_STORE_CTX-ийг давхаргад нэмсэн. WOLFSSL_PSK_IDENTITY_ALERT макро хэрэгжүүлсэн. TLS 12 сессийн тасалбарыг идэвхгүй болгохын тулд _CTX_NoTicketTLSv1.2 шинэ функцийг нэмсэн боловч TLS 1.3-д зориулж хадгална.
Эх сурвалж: opennet.ru