Este disponibilă o versiune de întreținere a bibliotecii criptografice OpenSSL 1.1.1j, care remediază două vulnerabilități:
- CVE-2021-23841 este o dereferință de pointer NULL în funcția X509_issuer_and_serial_hash(), care poate bloca aplicațiile care apelează această funcție pentru a gestiona certificatele X509 cu o valoare incorectă în câmpul emitent.
- CVE-2021-23840 este o depășire a numărului întreg în funcțiile EVP_CipherUpdate, EVP_EncryptUpdate și EVP_DecryptUpdate, care poate duce la returnarea unei valori de 1, indicând o operație reușită și setarea dimensiunii la o valoare negativă, ceea ce poate cauza blocarea sau întreruperea aplicațiilor. comportament normal.
- CVE-2021-23839 este o defecțiune în implementarea protecției rollback pentru utilizarea protocolului SSLv2. Apare doar în ramura veche 1.0.2.
A fost publicată și lansarea pachetului LibreSSL 3.2.4, în cadrul căruia proiectul OpenBSD dezvoltă un fork al OpenSSL menit să ofere un nivel mai ridicat de securitate. Versiunea este notabilă pentru revenirea la vechiul cod de verificare a certificatului utilizat în LibreSSL 3.1.x din cauza unei întreruperi în unele aplicații cu legături pentru a evita erorile din vechiul cod. Printre inovații, se remarcă adăugarea implementărilor componentelor exportator și autochain la TLSv1.3.
În plus, a existat o nouă lansare a bibliotecii criptografice compacte wolfSSL 4.7.0, optimizată pentru utilizare pe dispozitive încorporate cu procesor și resurse limitate de memorie, cum ar fi dispozitive Internet of Things, sisteme de casă inteligentă, sisteme de informații auto, routere și telefoane mobile. . Codul este scris în limbaj C și distribuit sub licența GPLv2.
Noua versiune include suport pentru RFC 5705 (Keying Material Exporters pentru TLS) și S/MIME (Secure/Multipurpose Internet Mail Extensions). S-a adăugat indicatorul „--enable-reproducible-build” pentru a asigura versiuni reproductibile. API-ul SSL_get_verify_mode, API-ul X509_VERIFY_PARAM și X509_STORE_CTX au fost adăugate la strat pentru a asigura compatibilitatea cu OpenSSL. S-a implementat macrocomandă WOLFSSL_PSK_IDENTITY_ALERT. S-a adăugat o nouă funcție _CTX_NoTicketTLSv12 pentru a dezactiva biletele de sesiune TLS 1.2, dar le păstrează pentru TLS 1.3.
Sursa: opennet.ru
