تم إصدار OpenSSL 3.6.0، وهو تطبيق لبروتوكولات SSL/TLS وخوارزميات تشفير متنوعة. يُعد OpenSSL 3.6 إصدار دعم دوري، مع تحديثات متاحة لمدة 13 شهرًا. سيستمر دعم إصدارات OpenSSL السابقة - 3.5 LTS، و3.4، و3.3، و3.2، و3.0 LTS - حتى أبريل 2030، وأكتوبر 2026، وأبريل 2026، ونوفمبر 2025، وسبتمبر 2026 على التوالي. كود المشروع مرخص بموجب ترخيص Apache 2.0.
الابتكارات الرئيسية:
- أُضيف دعم لبنية EVP_SKEY (المفتاح المتماثل) لتمثيل المفاتيح المتماثلة ككائنات معتمة. بخلاف المفاتيح الخام، التي تُمثل كمصفوفة بايتات، تُلخص EVP_SKEY بنية المفتاح وتحتوي على بيانات وصفية إضافية. يمكن استخدام EVP_SKEY في دوال التشفير وتبادل المفاتيح واشتقاق المفاتيح (KDF). أُضيفت الدوال EVP_KDF_CTX_set_SKEY() وEVP_KDF_derive_SKEY() وEVP_PKEY_derive_SKEY() للعمل مع مفاتيح EVP_SKEY.
- أُضيف دعمٌ للتحقق من التوقيع الرقمي استنادًا إلى نظام Leighton-Micali Signatures (LMS)، الذي يستخدم دوال التجزئة والتجزئة الشجرية على شكل شجرة Merkle (يتحقق كل فرع من جميع الفروع والعقد الأساسية). تتميز التوقيعات الرقمية لنظام LMS بمقاومتها لاختبارات القوة الغاشمة على الحاسوب الكمومي، وهي مصممة للتحقق من سلامة البرامج الثابتة والتطبيقات.
- أُضيف دعم لفئات أمان NIST لمعلمات كائنات PKEY (المفاتيح العامة والخاصة). يتم ضبط فئة الأمان عبر إعداد "فئة الأمان". أُضيفت الدالة EVP_PKEY_get_security_category() للتحقق من مستوى الأمان. يعكس مستوى الأمان مقاومة هجمات القوة الغاشمة على الحواسيب الكمومية، ويمكن أن يأخذ قيمًا صحيحة من 0 إلى 5.
- 0 - التنفيذ غير مقاوم للاختراق على أجهزة الكمبيوتر الكمومية؛
- 1/3/5 - لا يستبعد التنفيذ البحث على جهاز كمبيوتر كمي عن مفتاح في تشفير كتلة بمفتاح 128/192/256 بت؛
- 2/4 - لا يستبعد التنفيذ إمكانية البحث عن تصادم في تجزئة 256/384 بت على جهاز كمبيوتر كمي).
- تمت إضافة أمر "openssl configutl" لمعالجة ملفات التكوين. تتيح لك هذه الأداة إنشاء ملف موحد بجميع الإعدادات من ملف تكوين متعدد الملفات مع تضمينات.
- تم تحديث موفر التشفير FIPS لدعم التوليد الحتمي للتوقيعات الرقمية ECDSA (يتم إنشاء نفس التوقيع بنفس بيانات الإدخال)، وفقًا لمتطلبات معيار FIPS 186-5.
- تمت زيادة متطلبات بيئة البناء. لم يعد بناء OpenSSL يتطلب أدوات تدعم ANSI-C؛ بل أصبح مطلوبًا مُجمِّع متوافق مع معيار C-99.
- تم إيقاف استخدام الوظائف المرتبطة ببنية EVP_PKEY_ASN1_METHOD.
- تم إيقاف الدعم لمنصة VxWorks.
نقاط الضعف الثابتة:
- CVE-2025-9230 ثغرة أمنية في شفرة فك تشفير رسائل CMS المشفرة بكلمة مرور (PWRI). قد تؤدي هذه الثغرة إلى كتابة أو قراءة بيانات خارج نطاق الوصول، مما قد يؤدي إلى تعطل النظام أو تلف الذاكرة في التطبيقات التي تستخدم OpenSSL لمعالجة رسائل CMS. على الرغم من إمكانية استغلال هذه الثغرة لتنفيذ التعليمات البرمجية، إلا أن ندرة استخدام رسائل CMS المشفرة بكلمة مرور عمليًا تُخفف من خطورتها. بالإضافة إلى OpenSSL 3.6.0، تم إصلاح الثغرة الأمنية في إصدارات OpenSSL 3.5.4 و3.4.3 و3.3.5 و3.2.6 و3.0.18. كما تم إصلاحها في LibreSSL 4.0.1 و4.1.1، وهي مكتبة طورها مشروع OpenBSD.
- CVE-2025-9231 — تطبيق خوارزمية SM2 عرضة لهجوم القناة الجانبية. في الأنظمة المزودة بمعالجات ARM 64 بت، يسمح هذا باستعادة المفتاح الخاص من خلال تحليل توقيت العمليات الحسابية الفردية. من المحتمل أن يتم تنفيذ الهجوم عن بُعد. يُخفف من خطر الهجوم عدم دعم OpenSSL المباشر لاستخدام الشهادات بمفاتيح SM2 في TLS.
- CVE-2025-9232 ثغرة أمنية في تطبيق عميل HTTP المدمج، تسمح بقراءة بيانات خارج النطاق عند معالجة عنوان URL مُصمم خصيصًا في وظائف عميل HTTP. تظهر هذه المشكلة فقط عند تعيين متغير البيئة "no_proxy"، وقد تؤدي إلى تعطل التطبيق.
المصدر: opennet.ru
