K dispozícii je udržiavacia verzia kryptografickej knižnice OpenSSL 1.1.1j, ktorá opravuje dve zraniteľnosti:
- CVE-2021-23841 je dereferencia ukazovateľa NULL vo funkcii X509_issuer_and_serial_hash(), ktorá môže spôsobiť zlyhanie aplikácií, ktoré túto funkciu volajú na spracovanie certifikátov X509 s nesprávnou hodnotou v poli vydavateľa.
- CVE-2021-23840 je pretečenie celého čísla vo funkciách EVP_CipherUpdate, EVP_EncryptUpdate a EVP_DecryptUpdate, ktoré môže mať za následok vrátenie hodnoty 1, čo znamená úspešnú operáciu, a nastavenie veľkosti na zápornú hodnotu, čo môže spôsobiť zlyhanie alebo prerušenie aplikácií. normálne správanie.
- CVE-2021-23839 je chyba v implementácii ochrany proti vráteniu pri používaní protokolu SSLv2. Zobrazuje sa iba v starej vetve 1.0.2.
Zverejnené bolo aj vydanie balíka LibreSSL 3.2.4, v rámci ktorého projekt OpenBSD vyvíja fork OpenSSL zameraný na poskytovanie vyššej úrovne bezpečnosti. Vydanie je pozoruhodné návratom k starému overovaciemu kódu certifikátu používanému v LibreSSL 3.1.x kvôli prerušeniu niektorých aplikácií s väzbami na obídenie chýb v starom kóde. Medzi novinkami vyniká pridanie implementácií komponentov exportéra a autochainu do TLSv1.3.
Okrem toho bolo vydané nové vydanie kompaktnej kryptografickej knižnice wolfSSL 4.7.0, optimalizovanej pre použitie na vstavaných zariadeniach s obmedzenými procesorovými a pamäťovými zdrojmi, ako sú zariadenia internetu vecí, systémy pre inteligentné domácnosti, automobilové informačné systémy, smerovače a mobilné telefóny. . Kód je napísaný v jazyku C a distribuovaný pod licenciou GPLv2.
Nová verzia obsahuje podporu pre RFC 5705 (Exportéry kľúčových materiálov pre TLS) a S/MIME (Secure/Multipurpose Internet Mail Extensions). Pridaný príznak „--enable-reproducible-build“ na zabezpečenie reprodukovateľných zostavení. Do vrstvy boli pridané rozhrania SSL_get_verify_mode API, X509_VERIFY_PARAM API a X509_STORE_CTX, aby sa zabezpečila kompatibilita s OpenSSL. Implementované makro WOLFSSL_PSK_IDENTITY_ALERT. Pridaná nová funkcia _CTX_NoTicketTLSv12 na zakázanie lístkov relácie TLS 1.2, ale ich zachovanie pre TLS 1.3.
Zdroj: opennet.ru