Prohoster > Blog > tin tức mạng > Bản cập nhật OpenSSL 1.1.1j, WolfSSL 4.7.0 và LibreSSL 3.2.4

Bản cập nhật OpenSSL 1.1.1j, WolfSSL 4.7.0 và LibreSSL 3.2.4

Đã có bản phát hành bảo trì của thư viện mật mã OpenSSL 1.1.1j, giúp sửa hai lỗ hổng:

  • CVE-2021-23841 là một tham chiếu con trỏ NULL trong hàm X509_issuer_and_serial_hash(), có thể làm hỏng các ứng dụng gọi hàm này để xử lý chứng chỉ X509 có giá trị không chính xác trong trường nhà phát hành.
  • CVE-2021-23840 là lỗi tràn số nguyên trong các hàm EVP_CipherUpdate, EVP_EncryptUpdate và EVP_DecryptUpdate. Điều này có thể dẫn đến việc trả về giá trị 1, biểu thị thao tác thành công và đặt kích thước thành giá trị âm, điều này có thể khiến ứng dụng gặp sự cố hoặc gián đoạn hành vi bình thường.
  • CVE-2021-23839 là một lỗ hổng trong việc triển khai tính năng bảo vệ khôi phục khi sử dụng giao thức SSLv2. Chỉ xuất hiện ở nhánh cũ 1.0.2.

Việc phát hành gói LibreSSL 3.2.4 cũng đã được xuất bản, trong đó dự án OpenBSD đang phát triển một nhánh của OpenSSL nhằm cung cấp mức độ bảo mật cao hơn. Đáng chú ý là bản phát hành này đã hoàn nguyên về mã xác minh chứng chỉ cũ được sử dụng trong LibreSSL 3.1.x do một số ứng dụng có liên kết để khắc phục các lỗi trong mã cũ bị gián đoạn. Trong số những đổi mới, nổi bật là việc bổ sung triển khai các thành phần của nhà xuất khẩu và chuỗi tự động vào TLSv1.3.

Ngoài ra, còn có một bản phát hành mới của thư viện mật mã nhỏ gọn WolfSSL 4.7.0, được tối ưu hóa để sử dụng trên các thiết bị nhúng có bộ xử lý và tài nguyên bộ nhớ hạn chế, chẳng hạn như thiết bị Internet of Things, hệ thống nhà thông minh, hệ thống thông tin ô tô, bộ định tuyến và điện thoại di động. . Mã được viết bằng ngôn ngữ C và được phân phối theo giấy phép GPLv2.

Phiên bản mới bao gồm hỗ trợ cho RFC 5705 (Trình xuất vật liệu khóa cho TLS) và S/MIME (Phần mở rộng thư Internet an toàn/đa năng). Đã thêm cờ "--enable-reproducible-build" để đảm bảo các bản dựng có thể tái tạo. API SSL_get_verify_mode, API X509_VERIFY_PARAM và X509_STORE_CTX đã được thêm vào lớp để đảm bảo khả năng tương thích với OpenSSL. Đã triển khai macro WOLFSSL_PSK_IDENTITY_ALERT. Đã thêm chức năng mới _CTX_NoTicketTLSv12 để tắt vé phiên TLS 1.2 nhưng vẫn giữ chúng cho TLS 1.3.

Nguồn: opennet.ru

Thêm một lời nhận xét