wolfSSL 4.2.0をリリースしました

wolfSSL組み込みTLSライブラリのバージョン4.2.0をリリースいたしました。

このリリースでは、魅力的な新機能を多数追加するとともに、最適化やいくつかの修正もお届けします。wolfSSLはこのリリースの開発に10,000人時間におよぶ技術リソースを費やしています。新機能、ポーティングの追加、より強固なコードになった本リリースに関する修正、最適化、推奨事項のリストについては、GitHubのREADME( https://github.com/wolfSSL/wolfssl )、または wolfSSL 4.2.0をダウンロードしREADMEファイルをご確認ください。wolfSSLの新機能、最適化、および修正を最大限にご利用いただくため、最新版のwolfSSLの使用をすべての方にお勧めしています。また、READMEの変更点の中には、重要なセキュリティ修正についても記載しています。リリースに関するご質問は、info@wolfssl.jp までお気軽にご連絡ください。

wolfSSLバージョン4.2.0に含まれる新機能について:

  • 198の新たなOpenSSL互換性API
    • これには、NGINX(https://www.nginx.com/)などの多くのオープンソースプロジェクトのサポートが含まれます
    • プロジェクトをOpenSSLからwolfSSLにさらに簡単に移行でき、FIPS認証取得にも対応できるようになります
  • -enable-apachehttpdを使用しwolfSSLでコンパイルするためのApacheポーティング(https://www.apache.org/
  • OpenVSwitchでwolfSSLを使用するためのポーティング(https://openvpn.net/community-resources/ethernet-bridging/
  • Renesas TSIPのポーティング(https://www.renesas.com/br/en/products/software-tools/software-os-middleware-driver/security-crypto/trusted-secure-ip-driver.html
  • Azure Sphereデバイス用のVisual Studioソリューション(MT3620およびMT3620-mini)をIDE / VS-AZURE-SPHEREディレクトリに追加
  • Coldfire MCF5441X NetBurnerサンプルコードをIDE / M68K /ディレクトリへ追加
  • 特定鍵長向け整数演算ライブラリ(SP math)ビルドの素数チェックをサポート
  • mp_int割り当てを追跡するためのDYNAMIC_TYPE_BIGINTタイプの追加
  • ecc_set_typeパラメーターを取得するためのwc_ecc_get_curve_params APIを追加
  • TLS_SHA256_SHA256およびTLS_SHA384_SHA384 TLS1.3暗号スイート(NULL暗号)の追加
  • CMS操作のためのPKCS7復号化コールバックを追加
  • PKCS7 KARIのECCパラメーターオプションの処理を追加
  • FIPS wolfRandビルド用のconfigure.acへの追加
  • wolfSSL_CTX_load_verify_buffer_exとwolfSSL_CTX_load_verify_locations_exによる証明書の日付チェックを無視するためのフラグWOLFSSL_LOAD_FLAG_DATE_ERR_OKAYを追加
  • wolfSSL_CTX_use_PrivateKey_bufferに追加されたPKCS8キーのサポート
  • KECCAKハッシュのサポート。WOLFSSL_HASH_FLAGSマクロでビルドし、最初のSHA3更新の前にwc_Sha3_SetFlags(&sha, WC_HASH_SHA3_KECCAK256)を呼び出す
  • CTXレベルでのセキュアな再ネゴシエーションの設定の追加
  • KDS(NXP Kinetis Design Studio)サンプルプロジェクトをIDE / KDS /ディレクトリへ追加(https://www.nxp.com/design/designs/design-studio-integrated-development-environment-ide:KDS_IDE
  • TLS 1.2(およびそれ以前)でEncrypt-Then-MAC をサポート
  • 200万を超えるセッションエントリを保持できるTITANセッションキャッシュの新しいビルドオプションを追加(–enable-titancache)
  • Sniffer向けにQuickAssistを同期型でサポート
  • SiFive HiFive Unleashedボードをサポート(https://www.sifive.com/boards/hifive-unleashed
  • 互換レイヤービルド(https://webrtc.org/)に追加されたGoogle WebRTCのサポート
  • 追加のスニファー機能: IPv6スニファーのサポート、フラグメントチェーン入力、データストアコールバック、さまざまな統計的な調整およびその他の修正

wolfSSLは最もテストされた暗号ライブラリであり、バグや問題のないコードをリリースすることを目標にしています。しかし、常に完全というわけではありません。不本意ながら、事前に見つけられなかった問題もあります。問題が見つかった場合、情報は最大限公開するよう努力していきます。

次のリストは、お使いのwolfSSLを最新版に更新すべかどうかをお考えの際、気にしていただきたいセキュリティ上の修正をまとめたものです:

  • TLS 1.3事前共有鍵拡張の読み取り時の正常性チェック修正。TLS 1.3と事前共有キーが有効な場合、誤った読み取りが発生する可能性がありました。今回のリリースで修正されています。 TLS 1.3が有効でないユーザーは影響を受けません。 TLS 1.3が有効で、HAVE_SESSION_TICKETが定義されているか、NO_PSKが定義されていないユーザーは、wolfSSLのバージョンを本リリースに更新する必要があります。報告をいただいたRobert Hoerrさんに感謝します。
  • ocspstapling2が有効な場合、プログラムがハングする可能性を修正。サーバー側でocspstapling2が有効(デフォルトではオフ)の場合に影響する修正です。サーバー側でCSR2(Certificate Status Request v2)をパースする際に、不正な拡張機能がプログラムのハングを引き起こす可能性がありました。報告をいただいたRobert Hoerrさんに感謝します。
  • 1バイトのASN.1オーバーリードに関係した2つのレベル中の修正。 CVE-2019-15651は、証明書拡張機能をデコードするときに1バイト多くリードしてしまう可能性があったための修正です。 CVE-2019-16748は、証明書の署名をチェックすることで1バイト多くリードしてしまう可能性を修正するためのものです。これは、証明書のパースを行い、マクロNO_SKIDが定義されていないビルドに影響を与えます。報告をいただいた中国科学院ソフトウェア研究所のYan Jiaさんと研究者チームに感謝します。
  • DSA秘密鍵の回復に対する攻撃を含むDSA操作の重要な修正。 DSAが有効で、DSA操作を実行しているユーザーに影響します(デフォルトではオフ)。 DSAを有効にし、DSAキーを使用しているすべてのユーザーは、DSAキーを再生成し、wolfSSLバージョンを更新することをお勧めします。 ECDSAはこれによる影響を受けず、TLSのコードもこの問題による影響を受けません。 これはごく一部のユーザーに影響します(〜1%未満)。 Ján Jančárさんの報告に感謝します。

そのほか脆弱性情報については、https://www.wolfssl.com/docs/security-vulnerabilities/の脆弱性ページをご覧ください。

wolfSSLから愛を込めて

さらに詳しい情報は弊社問い合わせ窓口 info@wolfssl.jp までご連絡ください。
原文: https://www.wolfssl.com/wolfssl-version-4-2-0-now-available/