Está disponível uma versão de manutenção da biblioteca criptográfica OpenSSL 1.1.1j, que corrige duas vulnerabilidades:
- CVE-2021-23841 é uma desreferência de ponteiro NULL na função X509_issuer_and_serial_hash(), que pode travar aplicativos que chamam essa função para lidar com certificados X509 com um valor incorreto no campo do emissor.
- CVE-2021-23840 é um estouro de número inteiro nas funções EVP_CipherUpdate, EVP_EncryptUpdate e EVP_DecryptUpdate que pode resultar no retorno de um valor 1, indicando uma operação bem-sucedida e na definição do tamanho para um valor negativo, o que pode causar falha nos aplicativos ou interrupção comportamento normal.
- CVE-2021-23839 é uma falha na implementação da proteção contra rollback para uso do protocolo SSLv2. Aparece apenas no antigo branch 1.0.2.
Também foi publicado o lançamento do pacote LibreSSL 3.2.4, dentro do qual o projeto OpenBSD está desenvolvendo um fork do OpenSSL que visa fornecer um maior nível de segurança. O lançamento é notável por reverter para o antigo código de verificação de certificado usado no LibreSSL 3.1.x devido a uma interrupção em alguns aplicativos com ligações para solucionar bugs no código antigo. Dentre as novidades, destaca-se a adição de implementações dos componentes exportador e autochain ao TLSv1.3.
Além disso, houve um novo lançamento da biblioteca criptográfica compacta wolfSSL 4.7.0, otimizada para uso em dispositivos embarcados com recursos limitados de processador e memória, como dispositivos de Internet das Coisas, sistemas domésticos inteligentes, sistemas de informação automotivos, roteadores e telefones celulares. . O código é escrito em linguagem C e distribuído sob a licença GPLv2.
A nova versão inclui suporte para RFC 5705 (Keying Material Exporters for TLS) e S/MIME (Secure/Multipurpose Internet Mail Extensions). Adicionado sinalizador "--enable-reproducible-build" para garantir compilações reproduzíveis. A API SSL_get_verify_mode, API X509_VERIFY_PARAM e X509_STORE_CTX foram adicionadas à camada para garantir compatibilidade com OpenSSL. Macro implementada WOLFSSL_PSK_IDENTITY_ALERT. Adicionada uma nova função _CTX_NoTicketTLSv12 para desabilitar tickets de sessão TLS 1.2, mas preservá-los para TLS 1.3.
Fonte: opennet.ru