ProHoster > Blog > wiadomości internetowe > Aktualizacja OpenSSL 1.1.1j, wolfSSL 4.7.0 i LibreSSL 3.2.4

Aktualizacja OpenSSL 1.1.1j, wolfSSL 4.7.0 i LibreSSL 3.2.4

Dostępna jest już poprawka do biblioteki kryptograficznej OpenSSL 1.1.1j, która naprawia dwie luki w zabezpieczeniach:

  • CVE-2021-23841 – Dereferencja wskaźnika NULL w funkcji X509_issuer_and_serial_hash() może powodować awarię aplikacji wywołujących tę funkcję w celu przetworzenia certyfikatów X509 z nieprawidłową wartością w polu issuer.
  • CVE-2021-23840 — Przepełnienie liczb całkowitych w funkcjach EVP_CipherUpdate, EVP_EncryptUpdate i EVP_DecryptUpdate może spowodować zwrócenie wartości 1, oznaczającej powodzenie, i ujemnej wartości rozmiaru, co może spowodować awarię aplikacji lub inne nieprawidłowe działanie.
  • CVE-2021-23839 — błąd w implementacji zabezpieczenia awaryjnego dla protokołu SSLv2. Dotyczy tylko starszej gałęzi 1.0.2.

Wydano również LibreSSL 3.2.4, będący rozwidleniem OpenSSL w projekcie OpenBSD, którego celem jest zapewnienie wyższego poziomu bezpieczeństwa. Wydanie to wyróżnia się przywróceniem starego kodu weryfikacji certyfikatów używanego w LibreSSL 3.1.x, ze względu na niektóre aplikacje, które wykorzystywały powiązania do obejścia błędów w starym kodzie. Wśród nowych funkcji na uwagę zasługuje dodanie implementacji eksportera i komponentów autochain w TLSv1.3.

Dodatkowo, wydano nową wersję kompaktowej biblioteki kryptograficznej wolfSSL 4.7.0. Jest ona zoptymalizowana do użytku na urządzeniach wbudowanych z ograniczonymi zasobami procesora i pamięci, takich jak urządzenia IoT, systemy inteligentnego domu, systemy informacyjne w pojazdach, routery i telefony komórkowe. Kod jest napisany w języku C i rozpowszechniany na licencji GPLv2.

Nowa wersja implementuje obsługę RFC 5705 (Eksportery Materiałów Kluczy dla TLS) oraz S/MIME (Bezpieczne/Wielofunkcyjne Rozszerzenia Poczty Internetowej). Dodano flagę „--enable-reproducible-build”, aby zapewnić powtarzalność kompilacji. Do warstwy zgodności OpenSSL dodano interfejsy API SSL_get_verify_mode, X509_VERIFY_PARAM i X509_STORE_CTX. Zaimplementowano makro WOLFSSL_PSK_IDENTITY_ALERT. Dodano nową funkcję _CTX_NoTicketTLSv12, aby wyłączyć bilety sesji TLS 1.2, ale zachować je dla TLS 1.3.

Źródło: opennet.ru

Kup niezawodny hosting dla stron z ochroną DDoS, serwery VPS VDS 🔥 Kup niezawodny hosting stron internetowych z ochroną DDoS, serwery VPS VDS | ProHoster