Megjelent az OpenSSL új verziója, a 3.1, amely némi funkcióbővülést tartalmaz a 3.0-hoz képest.

A fejlesztések leginkább a FIPS-et és a teljesítményt érintik.

Az OpenSSL oldalán olvashatók a kiadási megjegyzések, illetve a változások listája is.

Megjelent az OpenSSL 1.1.1t, illetve az OpenSSL 3.0.8, előbbi egy magas és három mérsékelt, utóbbi egy magas és hét mérsékelt kockázatú sebezhetőség javítását tartalmazza.
Javasolt a mielőbbi frissítés!

OpenSSL 1.1
Magas kockázatú sebezhetőség:

• X.400 address type confusion in X.509 GeneralName (CVE-2023-0286)

Megjelent az OpenSSL 1.1.1s, illetve az OpenSSL 3.0.7, előbbi az 1.1.1r verzióban talált regressziót, utóbbi két magas kockázatú sebezhetőség javítását tartalmazza. Javasolt a mielőbbi frissítés.

Magas kockázatú sebezhetőség:

• X.509 Email Address 4-byte Buffer Overflow (CVE-2022-3602)
• X.509 Email Address Variable Length Buffer Overflow (CVE-2022-3786)

Korábban megírtuk, hogy bejelentették az OpenSSL 1.1.1r és az OpenSSL 3.0.6 verziókat.

Megjelent az OpenSSL 1.1.1r, illetve az OpenSSL 3.0.6, amelyek egy alacsony kockázatú sebezhetőség javítását tartalmazzák. Javasolt a mielőbbi frissítés.

Alacsony kockázatú sebezhetőség:

• Using a Custom Cipher with NID_undef may lead to NULL encryption (CVE-2022-3358)

Megjelent az OpenSSL 1.1.1q, illetve az OpenSSL 3.0.5, előbbi egy mérsékelt, utóbbi egy mérsékelt és egy magas kockázatú sebezhetőség javítását tartalmazza, így javasolt a mielőbbi frissítés.

Magas kockázatú sebezhetőség:

• Heap memory corruption with RSA private key operation (CVE-2022-2274)

Mérsékelt kockázatú sebezhetőség:

• AES OCB fails to encrypt some bytes (CVE-2022-2097)

Megjelent az OpenSSL 1.1.1p, illetve az OpenSSL 3.0.4, mindkettő egy mérsékelt kockázatú sebezhetőség javítását tartalmazza, így javasolt a mielőbbi frissítés.

Mérsékelt kockázatú sebezhetőség:

• The c_rehash script allows command injection (CVE-2022-2068)