มีการเปิดตัวการบำรุงรักษาไลบรารีการเข้ารหัส OpenSSL 1.1.1j ซึ่งแก้ไขช่องโหว่สองรายการ:
- CVE-2021-23841 เป็น NULL pointer dereference ในฟังก์ชัน X509_issuer_and_serial_hash() ซึ่งอาจทำให้แอปพลิเคชันที่เรียกใช้ฟังก์ชันนี้หยุดทำงานเพื่อจัดการใบรับรอง X509 ด้วยค่าที่ไม่ถูกต้องในฟิลด์ผู้ออก
- CVE-2021-23840 เป็นจำนวนเต็มล้นในฟังก์ชัน EVP_CipherUpdate, EVP_EncryptUpdate และ EVP_DecryptUpdate ซึ่งอาจส่งผลให้ส่งคืนค่า 1 บ่งชี้การดำเนินการที่ประสบความสำเร็จ และตั้งค่าขนาดเป็นค่าลบ ซึ่งอาจทำให้แอปพลิเคชันขัดข้องหรือขัดข้อง พฤติกรรมปกติ
- CVE-2021-23839 เป็นข้อบกพร่องในการใช้งานการป้องกันการย้อนกลับสำหรับการใช้โปรโตคอล SSLv2 ปรากฏเฉพาะในสาขาเก่า 1.0.2
นอกจากนี้ การเปิดตัวแพ็คเกจ LibreSSL 3.2.4 ยังได้รับการเผยแพร่อีกด้วย ซึ่งโครงการ OpenBSD กำลังพัฒนาทางแยกของ OpenSSL โดยมีเป้าหมายเพื่อให้ระดับความปลอดภัยที่สูงขึ้น การเปิดตัวนี้มีความโดดเด่นในการย้อนกลับไปใช้รหัสยืนยันใบรับรองเก่าที่ใช้ใน LibreSSL 3.1.x เนื่องจากการหยุดทำงานในบางแอปพลิเคชันที่มีการผูกเพื่อแก้ไขจุดบกพร่องในโค้ดเก่า ในบรรดานวัตกรรมต่างๆ การเพิ่มการใช้งานของผู้ส่งออกและส่วนประกอบ autochain ให้กับ TLSv1.3 มีความโดดเด่น
นอกจากนี้ ยังมีการเปิดตัวไลบรารีการเข้ารหัสลับขนาดกะทัดรัด wolfSSL 4.7.0 รุ่นใหม่ ซึ่งปรับให้เหมาะกับการใช้งานบนอุปกรณ์ฝังตัวที่มีโปรเซสเซอร์และทรัพยากรหน่วยความจำที่จำกัด เช่น อุปกรณ์ Internet of Things ระบบบ้านอัจฉริยะ ระบบข้อมูลยานยนต์ เราเตอร์ และโทรศัพท์มือถือ . รหัสนี้เขียนด้วยภาษา C และเผยแพร่ภายใต้ลิขสิทธิ์ GPLv2
เวอร์ชันใหม่รองรับ RFC 5705 (Keying Material Exporters for TLS) และ S/MIME (Secure/MultiPurpose Internet Mail Extensions) เพิ่มแฟล็ก "--enable-reproducible-build" เพื่อให้แน่ใจว่าบิลด์สามารถทำซ้ำได้ SSL_get_verify_mode API, X509_VERIFY_PARAM API และ X509_STORE_CTX ได้รับการเพิ่มลงในเลเยอร์เพื่อให้แน่ใจว่าเข้ากันได้กับ OpenSSL ใช้มาโคร WOLFSSL_PSK_IDENTITY_ALERT เพิ่มฟังก์ชันใหม่ _CTX_NoTicketTLSv12 เพื่อปิดใช้งานตั๋วเซสชัน TLS 1.2 แต่คงไว้สำหรับ TLS 1.3
ที่มา: opennet.ru