ProHoster > blogg > internetnyheter > OpenSSL 1.1.1j, wolfSSL 4.7.0 och LibreSSL 3.2.4 uppdatering

OpenSSL 1.1.1j, wolfSSL 4.7.0 och LibreSSL 3.2.4 uppdatering

En underhållsversion av det kryptografiska biblioteket OpenSSL 1.1.1j är tillgänglig, som åtgärdar två sårbarheter:

  • CVE-2021-23841 är en NULL-pekaredereferens i X509_issuer_and_serial_hash()-funktionen, som kan krascha applikationer som anropar denna funktion för att hantera X509-certifikat med ett felaktigt värde i utfärdarfältet.
  • CVE-2021-23840 är ett heltalsspill i funktionerna EVP_CipherUpdate, EVP_EncryptUpdate och EVP_DecryptUpdate som kan resultera i att värdet 1 returneras, vilket indikerar en lyckad operation och ställer in storleken till ett negativt värde, vilket kan få applikationer att krascha eller störa normalt beteende.
  • CVE-2021-23839 är ett fel i implementeringen av återställningsskydd för användning av SSLv2-protokollet. Visas endast i den gamla grenen 1.0.2.

Utgivningen av LibreSSL 3.2.4-paketet har också publicerats, inom vilket OpenBSD-projektet utvecklar en gaffel av OpenSSL som syftar till att ge en högre säkerhetsnivå. Utgåvan är känd för att återgå till den gamla certifikatverifieringskoden som används i LibreSSL 3.1.x på grund av ett avbrott i vissa applikationer med bindningar för att komma runt buggar i den gamla koden. Bland innovationerna sticker tillägget av implementeringar av exportören och autochain-komponenterna till TLSv1.3 ut.

Dessutom fanns det en ny version av det kompakta kryptografiska biblioteket wolfSSL 4.7.0, optimerat för användning på inbäddade enheter med begränsade processor- och minnesresurser, såsom Internet of Things-enheter, smarta hemsystem, informationssystem för fordon, routrar och mobiltelefoner . Koden är skriven på C-språk och distribueras under GPLv2-licensen.

Den nya versionen inkluderar stöd för RFC 5705 (Keying Material Exporters for TLS) och S/MIME (Secure/Multipurpose Internet Mail Extensions). Lade till flaggan "--enable-reproducible-build" för att säkerställa reproducerbara byggen. SSL_get_verify_mode API, X509_VERIFY_PARAM API och X509_STORE_CTX har lagts till i lagret för att säkerställa kompatibilitet med OpenSSL. Implementerat makro WOLFSSL_PSK_IDENTITY_ALERT. Lade till en ny funktion _CTX_NoTicketTLSv12 för att inaktivera TLS 1.2-sessionsbiljetter, men bevara dem för TLS 1.3.

Källa: opennet.ru

Lägg en kommentar