Er is nu een patch beschikbaar voor de OpenSSL 1.1.1j cryptografische bibliotheek, waarmee twee beveiligingslekken zijn verholpen:
- CVE-2021-23841 - Een dereferentie van een NULL-pointer in de functie X509_issuer_and_serial_hash() kan ervoor zorgen dat applicaties vastlopen die deze functie aanroepen om X509-certificaten te verwerken met een onjuiste waarde in het veld 'issuer'.
- CVE-2021-23840 - Een integer-overflow in de functies EVP_CipherUpdate, EVP_EncryptUpdate en EVP_DecryptUpdate kan resulteren in een retourwaarde van 1, wat succes aangeeft, en een negatieve waarde voor de grootte, waardoor applicaties kunnen crashen of anderszins onjuist kunnen functioneren.
- CVE-2021-23839 — een fout in de implementatie van de fallback-beveiliging voor het gebruik van het SSLv2-protocol. Treft alleen de oudere versie 1.0.2.
LibreSSL 3.2.4 is ook uitgebracht. Dit is de fork van OpenSSL door het OpenBSD-project, die een hoger beveiligingsniveau beoogt. Deze release is opmerkelijk vanwege de terugkeer naar de oude code voor certificaatverificatie die in LibreSSL 3.1.x werd gebruikt. Dit was nodig omdat sommige applicaties afhankelijk waren van bindings om bugs in de oude code te omzeilen. Een van de opvallende nieuwe functies is de toevoeging van TLSv1.3-implementaties van de exporter- en autochain-componenten.
Daarnaast is er een nieuwe versie van de compacte cryptografische bibliotheek wolfSSL 4.7.0 uitgebracht. Deze is geoptimaliseerd voor gebruik op embedded apparaten met beperkte processor- en geheugenbronnen, zoals IoT-apparaten, slimme huissystemen, informatiesystemen in voertuigen, routers en mobiele telefoons. De code is geschreven in C en wordt gedistribueerd onder de GPLv2-licentie.
De nieuwe versie biedt ondersteuning voor RFC 5705 (Keying Material Exporters for TLS) en S/MIME (Secure/Multipurpose Internet Mail Extensions). De vlag "--enable-reproducible-build" is toegevoegd om herhaalbare builds te garanderen. De API's SSL_get_verify_mode, X509_VERIFY_PARAM en X509_STORE_CTX zijn toegevoegd aan de OpenSSL-compatibiliteitslaag. De macro WOLFSSL_PSK_IDENTITY_ALERT is geïmplementeerd. De nieuwe functie _CTX_NoTicketTLSv12 is toegevoegd om TLS 1.2-sessietickets uit te schakelen, maar ze te behouden voor TLS 1.3.
Bron: opennet.ru
