Команда разработчиков OpenSSL выпустила обновление безопасности версии 3.6.2, направленное на устранение ряда выявленных уязвимостей в популярной криптографической библиотеке. OpenSSL широко используется в серверных системах, веб-приложениях и программном обеспечении для обеспечения защищённых соединений, поэтому любые проблемы безопасности в этой библиотеке требуют особого внимания.
Новая версия устраняет как недавно обнаруженные уязвимости, так и проблемы, выявленные в предыдущих релизах. Пользователям и администраторам настоятельно рекомендуется обновить библиотеку как можно скорее.
В OpenSSL 3.6.2 устранены следующие уязвимости:
- CVE-2026-31790
- CVE-2026-2673
- CVE-2026-28386
- CVE-2026-28387
- CVE-2026-28388
- CVE-2026-28389
- CVE-2026-28390
- CVE-2026-31789
Какие уязвимости были устранены
Обновление OpenSSL 3.6.2 направлено на исправление нескольких проблем безопасности, включая уязвимость, зарегистрированную как CVE-2026-2673. Она затрагивает версии OpenSSL 3.6 и 3.5 и может привести к некорректной обработке параметров соединения.
Суть проблемы заключается в неправильной работе с группами криптографических параметров, что в определённых условиях может повлиять на стабильность и безопасность TLS-соединений.
Кроме того, обновление продолжает устранять последствия ранее обнаруженных ошибок, включая:
- Ошибки обработки PKCS#12-файлов, которые могут быть использованы при обработке специально сформированных данных
- Проблемы с переполнением буфера в компонентах CMS
- Ошибки валидации ASN.1 структур
- Недочёты в работе с TLS и памятью
Некоторые из этих уязвимостей ранее классифицировались как умеренные или низкие, однако их совокупное влияние может представлять риск для серверных систем.
Насколько это опасно
Большинство исправленных уязвимостей не относятся к критическим, однако это не означает, что их можно игнорировать. Даже уязвимости средней и низкой степени опасности могут использоваться в цепочках атак, особенно если речь идёт о серверной инфраструктуре.
Важно учитывать несколько факторов:
- OpenSSL используется практически во всех веб-серверах и сетевых сервисах
- Ошибки в криптографии могут привести к утечке данных или отказу в обслуживании
- Эксплуатация некоторых уязвимостей возможна при обработке вредоносных файлов
Например, отдельные баги требуют обработки специально сформированных PKCS#12-файлов, что снижает вероятность атаки, но не исключает её полностью.
Кого это касается
Уязвимости затрагивают:
- OpenSSL 3.6.x (до версии 3.6.2)
- OpenSSL 3.5.x (до соответствующих патчей)
При этом более старые ветки, такие как 3.0 или 1.1.1, в большинстве случаев не подвержены именно этой конкретной уязвимости, но могут иметь собственные проблемы безопасности.
Отдельно отмечается, что модули FIPS не затронуты данной уязвимостью, так как проблемный код находится вне их границ.
Почему важно обновиться
Регулярные обновления OpenSSL — это критически важная практика для обеспечения безопасности инфраструктуры. Даже если уязвимость кажется незначительной, злоумышленники часто используют комбинации нескольких багов.
Обновление до версии 3.6.2 позволяет:
- Закрыть известные уязвимости
- Повысить устойчивость к атакам
- Обеспечить совместимость с актуальными стандартами безопасности
Игнорирование обновлений может привести к тому, что система останется уязвимой для уже известных и документированных атак.
Подробнее см. в журнале изменений.
Выводы
OpenSSL 3.6.2 — это важное обновление безопасности, устраняющее ряд уязвимостей, включая CVE-2026-2673. Несмотря на то, что большинство проблем не имеют критического уровня, их исправление необходимо для поддержания безопасной работы серверов и приложений.
Администраторам и разработчикам рекомендуется как можно скорее обновить используемые версии OpenSSL, особенно если система обрабатывает внешние данные или работает в публичной сети.
Часто задаваемые вопросы
Что такое OpenSSL?
OpenSSL — это популярная библиотека с открытым исходным кодом, используемая для реализации SSL/TLS и других криптографических функций.
Насколько критична уязвимость CVE-2026-2673?
Она не считается критической, но может повлиять на безопасность соединений и должна быть устранена.
Нужно ли срочно обновляться?
Да, особенно если вы используете OpenSSL в серверных приложениях или обрабатываете внешние данные.
Затрагивает ли проблема старые версии OpenSSL?
Конкретная уязвимость касается веток 3.6 и 3.5, однако старые версии могут содержать другие уязвимости.
Как проверить установленную версию OpenSSL?
Вы можете выполнить команду openssl version в терминале, чтобы узнать текущую установленную версию.