Available ang maintenance release ng OpenSSL cryptographic library 1.1.1j, na nag-aayos ng dalawang kahinaan:
- Ang CVE-2021-23841 ay isang NULL pointer dereference sa X509_issuer_and_serial_hash() function, na maaaring mag-crash ng mga application na tumatawag sa function na ito upang mahawakan ang mga X509 certificate na may maling halaga sa field ng issuer.
- Ang CVE-2021-23840 ay isang integer overflow sa EVP_CipherUpdate, EVP_EncryptUpdate, at EVP_DecryptUpdate function na maaaring magresulta sa pagbabalik ng value na 1, na nagpapahiwatig ng matagumpay na operasyon, at pagtatakda ng laki sa negatibong halaga, na maaaring magdulot ng pag-crash o pagkagambala ng mga application normal na pag-uugali.
- Ang CVE-2021-23839 ay isang depekto sa pagpapatupad ng rollback protection para sa paggamit ng SSLv2 protocol. Lumilitaw lamang sa lumang sangay 1.0.2.
Ang paglabas ng LibreSSL 3.2.4 package ay nai-publish din, kung saan ang proyekto ng OpenBSD ay bumubuo ng isang tinidor ng OpenSSL na naglalayong magbigay ng mas mataas na antas ng seguridad. Ang release ay kapansin-pansin para sa pagbabalik sa lumang certificate verification code na ginamit sa LibreSSL 3.1.x dahil sa isang break sa ilang mga application na may mga binding upang ayusin ang mga bug sa lumang code. Kabilang sa mga inobasyon, namumukod-tangi ang pagdaragdag ng mga pagpapatupad ng exporter at mga bahagi ng autochain sa TLSv1.3.
Bilang karagdagan, nagkaroon ng bagong release ng compact cryptographic library wolfSSL 4.7.0, na-optimize para sa paggamit sa mga naka-embed na device na may limitadong processor at memory resources, tulad ng mga Internet of Things device, smart home system, automotive information system, router at mobile phone. . Ang code ay nakasulat sa wikang C at ipinamahagi sa ilalim ng lisensya ng GPLv2.
Kasama sa bagong bersyon ang suporta para sa RFC 5705 (Mga Keying Material Exporters para sa TLS) at S/MIME (Secure/Multipurpose Internet Mail Extension). Idinagdag ang flag na "--enable-reproducible-build" para matiyak ang mga reproducible na build. Ang SSL_get_verify_mode API, X509_VERIFY_PARAM API at X509_STORE_CTX ay idinagdag sa layer upang matiyak ang pagiging tugma sa OpenSSL. Ipinatupad ang macro WOLFSSL_PSK_IDENTITY_ALERT. Nagdagdag ng bagong function na _CTX_NoTicketTLSv12 upang hindi paganahin ang TLS 1.2 session ticket, ngunit panatilihin ang mga ito para sa TLS 1.3.
Pinagmulan: opennet.ru