Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4

17 февраля 2021 года

Доступен корректирующий выпуск криптографической библиотеки OpenSSL 1.1.1j (Архивная копия от 29 сентября 2020 на Wayback Machine), в котором устранены две уязвимости:

  • CVE-2021-23841 - разыменование нулевого указателя в функции X509_issuer_and_serial_hash(), которое может привести к краху приложений, вызывающих данную функцию для обработки сертификатов X509 с некорректным значением в поле issuer.
  • CVE-2021-23840 - целочисленное переполнение в функциях EVP_CipherUpdate, EVP_EncryptUpdate и EVP_DecryptUpdate, результатом которого может быть возврат значения 1, означающего успешное выполнение операции, и установка отрицательного значения с размером, что может привести к краху приложений или нарушению нормального поведения.
  • CVE-2021-23839 - недоработка в реализации защиты от отката на использование протокола SSLv2. Проявляется только в старой ветке 1.0.2.

Также опубликован релиз пакета LibreSSL 3.2.4, в рамках которого проект OpenBSD развивает форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Выпуск примечателен возвратом на использование старого кода верификации сертификатов, используемого в LibreSSL 3.1.x, из-за нарушения нормальной работы некоторых приложений с привязками для обхода ошибок в старом коде. Из новшеств выделяется добавление в TLSv1.3 реализаций компонентов exporter и autochain.

Кроме того, состоялся новый выпуск компактной криптографической библиотеки wolfSSL 4.7.0, оптимизированной для использования на встраиваемых устройствах с ограниченными ресурсами процессора и памяти, таких как устройства интернета вещей, системы умного дома, автомобильные информационные системы, маршрутизаторы и мобильные телефоны. Код написан на языке Си и распространяется под лицензией GPLv2.

В новой версии реализована поддержка RFC 5705 (Keying Material Exporters for TLS) и S/MIME (Secure/Multipurpose Internet Mail Extensions). Добавлен флаг "--enable-reproducible-build" для обеспечения повторяемых сборок. В прослойку для обеспечения совместимости с OpenSSL добавлены API SSL_get_verify_mode, X509_VERIFY_PARAM API и X509_STORE_CTX. Реализован макрос WOLFSSL_PSK_IDENTITY_ALERT. Добавлена новая функция _CTX_NoTicketTLSv12 для отключения сессионных тикетов TLS 1.2, но их сохранением для TLS 1.3.

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Обновление OpenSSL 1.1.1j, wolfSSL 4.7.0 и LibreSSL 3.2.4», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.