OpenSSL kriptografik kutubxonasining 1.1.1j texnik versiyasi mavjud bo'lib, u ikkita zaiflikni tuzatadi:
- CVE-2021-23841 - bu X509_issuer_and_serial_hash() funksiyasidagi NULL ko‘rsatgich bo‘lib, u emitent maydonida noto‘g‘ri qiymatga ega X509 sertifikatlarini boshqarish uchun ushbu funksiyani chaqiradigan ilovalarni ishdan chiqarishi mumkin.
- CVE-2021-23840 - bu EVP_CipherUpdate, EVP_EncryptUpdate va EVP_DecryptUpdate funksiyalaridagi butun son bo‘lib, natijada 1 qiymati qaytarilishi mumkin, bu muvaffaqiyatli operatsiyani bildiradi va o‘lchamni salbiy qiymatga o‘rnatadi, bu esa ilovalarning ishdan chiqishiga yoki ishlamay qolishiga olib kelishi mumkin. normal xulq-atvor.
- CVE-2021-23839 - SSLv2 protokolidan foydalanish uchun orqaga qaytarish himoyasini amalga oshirishdagi kamchilik. Faqat eski filialda paydo bo'ladi 1.0.2.
LibreSSL 3.2.4 paketining chiqarilishi ham chop etildi, uning doirasida OpenBSD loyihasi yuqori darajadagi xavfsizlikni ta'minlashga qaratilgan OpenSSL vilkasini ishlab chiqmoqda. Chiqarish LibreSSL 3.1.x da ishlatiladigan eski sertifikat tasdiqlash kodiga qaytishi bilan ajralib turadi, chunki eski koddagi xatolarni bartaraf etish uchun bog‘langan ba’zi ilovalardagi tanaffus. Innovatsiyalar orasida TLSv1.3 ga eksportchi va autochain komponentlarini qo'llash alohida ajralib turadi.
Bundan tashqari, “Internet of Things” qurilmalari, “aqlli uy” tizimlari, avtomobil axborot tizimlari, routerlar va mobil telefonlar kabi cheklangan protsessor va xotira resurslariga ega o‘rnatilgan qurilmalarda foydalanish uchun optimallashtirilgan wolfSSL 4.7.0 ixcham kriptografik kutubxonasining yangi versiyasi chiqdi. . Kod C tilida yozilgan va GPLv2 litsenziyasi ostida tarqatiladi.
Yangi versiya RFC 5705 (Keying Material Exporters for TLS) va S/MIME (xavfsiz/koʻp maqsadli Internet pochta kengaytmalari) ni qoʻllab-quvvatlashni oʻz ichiga oladi. Qayta tiklanadigan tuzilmalarni ta'minlash uchun "--enable-reproducible-build" belgisi qo'shildi. OpenSSL bilan mosligini ta'minlash uchun qatlamga SSL_get_verify_mode API, X509_VERIFY_PARAM API va X509_STORE_CTX qo'shildi. WOLFSSL_PSK_IDENTITY_ALERT makrosi amalga oshirildi. TLS 12 seans chiptalarini oʻchirish uchun _CTX_NoTicketTLSv1.2 yangi funksiyasi qoʻshildi, lekin ularni TLS 1.3 uchun saqlab qoʻydi.
Manba: opennet.ru