Linuxeden开源社区
OpenSSL 3.6.1 今日发布,作为该广泛使用的 TLS/SSL 和加密库 OpenSSL 3.6 系列的最新维护/安全更新,旨在提供计算机网络上安全通信。
OpenSSL 3.6.1 发布,旨在解决多个关键安全漏洞,包括 CVE-2025-11187,该漏洞导致在 PKCS#12 MAC 验证中 PBMAC1 参数验证不当;CVE-2025-15467,在未知加密 ID 的 SSL_CIPHER_find() 函数中发生空指针解引用;以及 CVE-2025-15469,导致 openssl dgst 单次执行代码路径在输入大于 16 MB 时静默截断。
此次发布还解决了 CVE-2025-66199,修复了 TLS 1.3 CompressedCertificate 过度内存分配问题;CVE-2025-68160,在 BIO_f_linebuffer 中短写时的堆越界写入;CVE-2025-69418,导致在低级 OCB 函数调用中未认证/未加密的尾部字节;以及 CVE-2025-69419,在 PKCS12_get_friendlyname() UTF-8 转换中的越界写入。
此外,OpenSSL 3.6.1 解决了 CVE-2025-69420,导致 ASN1_TYPE 函数中缺少 TS_RESP_verify_response() 验证;CVE-2025-69421, e PKCS12_item_decrypt_d2i_ex() 函数中的空指针解引用;CVE-2026-22795,导致在 PKCS#12 解析中缺少 ASN1_TYPE 验证;以及 CVE-2026-22796, PKCS7_digest_from_attributes() 函数中的 ASN1_TYPE 类型混淆。
除了这些安全修复之外,OpenSSL 3.6.1 版本修复了 X509_V_FLAG_CRL_CHECK_ALL 标志处理的回归问题,恢复了 OpenSSL 3.6 之前的处理行为,以及处理捆绑 OCSP 响应的回归问题,该问题导致具有各种客户端实现的 OpenSSL 3.6 服务器握手失败。
此外,今天 OpenSSL 项目发布了 OpenSSL 3.5.5、OpenSSL 3.4.4、OpenSSL 3.3.6 和 OpenSSL 3.0.19 作为 OpenSSL 3.5、OpenSSL 3.4、OpenSSL 3.3 和 OpenSSL 3.0 系列的安全/补丁点版本,供仍然使用这些分支的用户使用。请查看项目的 GitHub 页面,了解这些更新中包含的更改的更多详细信息。
OpenSSL 3.6 是该加密库的最新版本,增加了许多重要新功能,如 PKEY 对象的 NIST 安全类别、支持 EVP_SKEY 透明对称密钥对象、支持 FIPS 186-5 确定性 ECDSA 签名生成、LMS 签名验证支持,以及用于处理 OpenSSL 配置文件的 openssl configutl 实用程序。
Image credits: OpenSSL 图片来源:OpenSSL
转自 OpenSSL 3.6.1 Is Now Available with Important Security Patches and Bug Fixes – 9to5Linux