Выпущена версия OpenSSL 3.6.1 с исправлениями критических уязвимостей

Компания OpenSSL выпустила версию 3.6.1 — обновление, ориентированное на безопасность, которое устраняет множество уязвимостей, в том числе с высоким уровнем опасности, и включает исправления, накопившиеся с момента предыдущего обновления 3.6.x.

Среди наиболее заметных — исправление некорректной проверки параметров PBMAC1 при проверке MAC-адреса PKCS#12, отслеживаемое как CVE-2025-11187.

Также были устранены несколько уязвимостей, связанных с памятью, в том числе переполнение буфера стека при разборе CMS AuthEnvelopedData, многочисленные проблемы с кучей и выходом за границы при записи в BIO и PKCS#12, а также разыменование нулевого указателя в функциях поиска шифра и расшифровки.

В OpenSSL 3.6.1 также устранены проблемы, влияющие на современные развертывания TLS. Исправлена ошибка, приводившая к чрезмерному выделению памяти при обработке сообщений TLS 1.3 CompressedCertificate, а также проблема, связанная с неаутентифицированными или незашифрованными завершающими байтами в низкоуровневых вызовах функций OCB.

Дополнительные исправления устраняют проблему с отсутствием проверки типа ASN.1 при проверке ответа с меткой времени и разборе PKCS#12, а также проблему с путаницей типов ASN.1 при обработке дайджеста PKCS7.

Помимо устранения уязвимостей в системе безопасности, в этом выпуске исправлены две ошибки, появившиеся в OpenSSL 3.6.0. Одна из них восстанавливает предыдущее поведение флага X509_V_FLAG_CRL_CHECK_ALL, а другая устраняет ошибки при установлении соединения, вызванные неправильной обработкой скремблированных ответов OCSP при взаимодействии серверов OpenSSL 3.6.0 с некоторыми клиентскими реализациями.

Проект рекомендует пользователям и дистрибутивам, использующим OpenSSL 3.6.x, своевременно обновляться, особенно в тех случаях, когда используются службы TLS, проверка сертификатов или обработка PKCS#12.

Для получения дополнительной информации см. журнал изменений.

Редактор: AndreyEx