ProHoster > Блог > Новини інтернету > Оновлення OpenSSL 1.1.1j, wolfSSL 4.7.0 та LibreSSL 3.2.4

Оновлення OpenSSL 1.1.1j, wolfSSL 4.7.0 та LibreSSL 3.2.4

Доступний коригуючий випуск криптографічної бібліотеки OpenSSL 1.1.1j, у якому усунуто дві вразливості:

  • CVE-2021-23841 — розіменування нульового покажчика функції X509_issuer_and_serial_hash(), яке може призвести до краху додатків, що викликають цю функцію для обробки сертифікатів X509 з некоректним значенням в полі issuer.
  • CVE-2021-23840 — цілечисленне переповнення у функціях EVP_CipherUpdate, EVP_EncryptUpdate та EVP_DecryptUpdate, результатом якого може бути повернення значення 1, що означає успішне виконання операції, та встановлення негативного значення з розміром, що може призвести до краху додатків.
  • CVE-2021-23839 — недоробка у реалізації захисту від відкату використання протоколу SSLv2. Виявляється лише у старій гілці 1.0.2.

Також опубліковано реліз пакету LibreSSL 3.2.4, в рамках якого проект OpenBSD розвиває форк OpenSSL, націлений на забезпечення вищого рівня безпеки. Випуск примітний поверненням на використання старого коду верифікації сертифікатів, який використовується в LibreSSL 3.1.x, через порушення нормальної роботи деяких програм з прив'язками для обходу помилок у старому коді. З нововведень виділяється додавання до TLSv1.3 реалізацій компонентів exporter та autochain.

Крім того, відбувся новий випуск компактної криптографічної бібліотеки wolfSSL 4.7.0, оптимізованої для використання на вбудовуваних пристроях з обмеженими ресурсами процесора та пам'яті, таких як пристрої інтернету речей, розумні системи, автомобільні інформаційні системи, маршрутизатори та мобільні телефони. Код написаний мовою Сі та поширюється під ліцензією GPLv2.

У новій версії реалізовано підтримку RFC 5705 (Keying Material Exporters for TLS) та S/MIME (Secure/Multipurpose Internet Mail Extensions). Доданий прапор «—enable-reproducible-build» для забезпечення повторюваних збірок. У прошарок для забезпечення сумісності з OpenSSL додані API SSL_get_verify_mode, X509_VERIFY_PARAM API та X509_STORE_CTX. Реалізовано макрос WOLFSSL_PSK_IDENTITY_ALERT. Додано нову функцію _CTX_NoTicketTLSv12 для відключення сесійних тикетів TLS 1.2, але їх збереженням для TLS 1.3.

Джерело: opennet.ru

Додати коментар або відгук