Dostępna jest wersja konserwacyjna biblioteki kryptograficznej OpenSSL 1.1.1j, która naprawia dwie luki:
- CVE-2021-23841 to dereferencja wskaźnika NULL w funkcji X509_issuer_and_serial_hash(), która może powodować awarie aplikacji wywołujących tę funkcję w celu obsługi certyfikatów X509 z niepoprawną wartością w polu wystawcy.
- CVE-2021-23840 to przepełnienie liczb całkowitych w funkcjach EVP_CipherUpdate, EVP_EncryptUpdate i EVP_DecryptUpdate, które może skutkować zwróceniem wartości 1, wskazującym pomyślną operację i ustawieniem rozmiaru na wartość ujemną, co może spowodować awarię lub zakłócenie aplikacji normalne zachowanie.
- CVE-2021-23839 to błąd w implementacji zabezpieczenia przed wycofywaniem zmian w przypadku korzystania z protokołu SSLv2. Pojawia się tylko w starej gałęzi 1.0.2.
Opublikowano także wydanie pakietu LibreSSL 3.2.4, w ramach którego projekt OpenBSD rozwija fork OpenSSL mający na celu zapewnienie wyższego poziomu bezpieczeństwa. Wydanie to wyróżnia się powrotem do starego kodu weryfikacyjnego certyfikatu używanego w LibreSSL 3.1.x z powodu przerwy w niektórych aplikacjach z powiązaniami pozwalającymi obejść błędy w starym kodzie. Wśród innowacji wyróżnia się dodanie implementacji komponentów eksportera i autochain do TLSv1.3.
Ponadto pojawiła się nowa wersja kompaktowej biblioteki kryptograficznej wolfSSL 4.7.0, zoptymalizowanej do użytku na urządzeniach wbudowanych z ograniczonymi zasobami procesora i pamięci, takimi jak urządzenia Internetu rzeczy, systemy inteligentnego domu, samochodowe systemy informacyjne, routery i telefony komórkowe . Kod napisany jest w języku C i rozpowszechniany na licencji GPLv2.
Nowa wersja obsługuje standard RFC 5705 (eksportery materiałów kluczy dla TLS) i S/MIME (bezpieczne/wielofunkcyjne rozszerzenia poczty internetowej). Dodano flagę „--enable-reproducible-build”, aby zapewnić powtarzalność kompilacji. Do warstwy dodano interfejsy API SSL_get_verify_mode, X509_VERIFY_PARAM API i X509_STORE_CTX, aby zapewnić kompatybilność z OpenSSL. Zaimplementowano makro WOLFSSL_PSK_IDENTITY_ALERT. Dodano nową funkcję _CTX_NoTicketTLSv12, aby wyłączyć bilety sesji TLS 1.2, ale zachować je dla TLS 1.3.
Źródło: opennet.ru