OpenSSL 加密庫 1.1.1j 的維護版本現已推出,它修復了兩個漏洞:
- CVE-2021-23841 是 X509_issuer_and_serial_hash() 函數中的 NULL 指標取消引用,這可能會使呼叫此函數來處理頒發者欄位中的值不正確的 X509 憑證的應用程式崩潰。
- CVE-2021-23840 是 EVP_CipherUpdate、EVP_EncryptUpdate 和 EVP_DecryptUpdate 函數中的整數溢出,可能導致傳回值 1(表示操作成功)並將大小設為負值,這可能導致應用程式崩潰或中斷正常行為。
- CVE-2021-23839 是在使用 SSLv2 協定實施回溯保護時所存在的缺陷。 僅出現在舊分支1.0.2。
LibreSSL 3.2.4 軟體套件也已發布,其中 OpenBSD 專案正在開發 OpenSSL 的一個分支,旨在提供更高層級的安全性。 此版本的值得注意之處在於恢復了 LibreSSL 3.1.x 中使用的舊憑證驗證程式碼,因為某些應用程式中存在用於解決舊程式碼中的錯誤的綁定的中斷。 在這些創新中,最引人注目的是在 TLSv1.3 中添加了導出器和自動鏈組件的實作。
此外,還發布了新版本的緊湊型加密庫wolfSSL 4.7.0,針對處理器和內存資源有限的嵌入式設備進行了優化,例如物聯網設備、智慧家庭系統、汽車資訊系統、路由器和手機。 該程式碼是用 C 語言編寫的,並在 GPLv2 許可證下分發。
新版本包括對 RFC 5705(TLS 金鑰材料匯出器)和 S/MIME(安全/多用途 Internet 郵件擴充)的支援。 添加了“--enable-reproducible-build”標誌以確保可重現的構建。 SSL_get_verify_mode API、X509_VERIFY_PARAM API 和 X509_STORE_CTX 已新增至該層以確保與 OpenSSL 的相容性。 實作了巨集 WOLFSSL_PSK_IDENTITY_ALERT。 新增了新函數 _CTX_NoTicketTLSv12 以停用 TLS 1.2 會話票證,但為 TLS 1.3 保留它們。
來源: opennet.ru