ProHoster > Blog > ειδήσεις στο διαδίκτυο > Κυκλοφόρησε το OpenSSL 3.6.0 με υποστήριξη EVP_SKEY και διόρθωση υπερχείλισης buffer

Κυκλοφόρησε το OpenSSL 3.6.0 με υποστήριξη EVP_SKEY και διόρθωση υπερχείλισης buffer

Κυκλοφόρησε η έκδοση OpenSSL 3.6.0, μια υλοποίηση των πρωτοκόλλων SSL/TLS και διαφόρων αλγορίθμων κρυπτογράφησης. Η έκδοση OpenSSL 3.6 είναι μια έκδοση με τακτική υποστήριξη, με διαθέσιμες ενημερώσεις για 13 μήνες. Η υποστήριξη για προηγούμενες εκδόσεις OpenSSL—3.5 LTS, 3.4, 3.3, 3.2 και 3.0 LTS—θα συνεχιστεί μέχρι τον Απρίλιο του 2030, τον Οκτώβριο του 2026, τον Απρίλιο του 2026, τον Νοέμβριο του 2025 και τον Σεπτέμβριο του 2026, αντίστοιχα. Ο κώδικας του έργου διατίθεται με την άδεια Apache 2.0.

Βασικές καινοτομίες:

  • Προστέθηκε υποστήριξη για τη δομή EVP_SKEY (Symmetric KEY) για την αναπαράσταση συμμετρικών κλειδιών ως αδιαφανών αντικειμένων. Σε αντίθεση με τα ακατέργαστα κλειδιά, τα οποία αναπαρίστανται ως πίνακας byte, το EVP_SKEY αφαιρεί τη δομή κλειδιού και περιέχει πρόσθετα μεταδεδομένα. Το EVP_SKEY μπορεί να χρησιμοποιηθεί σε συναρτήσεις κρυπτογράφησης, ανταλλαγής κλειδιών και παράγωγης κλειδιών (KDF). Οι συναρτήσεις EVP_KDF_CTX_set_SKEY(), EVP_KDF_derive_SKEY() και EVP_PKEY_derive_SKEY() έχουν προστεθεί για εργασία με κλειδιά EVP_SKEY.
  • Έχει προστεθεί υποστήριξη για επαλήθευση ψηφιακής υπογραφής με βάση το σχήμα Leighton-Micali Signatures (LMS), το οποίο χρησιμοποιεί συναρτήσεις κατακερματισμού και κατακερματισμό βασισμένο σε δέντρο με τη μορφή ενός Merkle Tree (κάθε κλάδος επαληθεύει όλους τους υποκείμενους κλάδους και κόμβους). Οι ψηφιακές υπογραφές LMS είναι ανθεκτικές σε δοκιμές ωμής βίας σε κβαντικό υπολογιστή και έχουν σχεδιαστεί για να επαληθεύουν την ακεραιότητα του υλικολογισμικού και των εφαρμογών.
  • Προστέθηκε υποστήριξη για κατηγορίες ασφαλείας NIST για παραμέτρους αντικειμένων PKEY (δημόσια και ιδιωτικά κλειδιά). Η κατηγορία ασφαλείας ορίζεται μέσω της ρύθμισης "security-category". Προστέθηκε η συνάρτηση EVP_PKEY_get_security_category() για τον έλεγχο του επιπέδου ασφαλείας. Το επίπεδο ασφαλείας αντικατοπτρίζει την αντίσταση σε επιθέσεις ωμής βίας σε κβαντικούς υπολογιστές και μπορεί να λάβει ακέραιες τιμές από 0 έως 5:
    • 0 - η υλοποίηση δεν είναι ανθεκτική στην πειρατεία σε κβαντικούς υπολογιστές.
    • 1/3/5 — η υλοποίηση δεν αποκλείει την αναζήτηση σε έναν κβαντικό υπολογιστή για ένα κλειδί σε ένα μπλοκ κρυπτογράφησης με κλειδί 128/192/256-bit.
    • 2/4 - η υλοποίηση δεν αποκλείει την πιθανότητα αναζήτησης σύγκρουσης σε ένα hash 256/384-bit σε έναν κβαντικό υπολογιστή).
  • Η εντολή "openssl configutl" έχει προστεθεί για την επεξεργασία αρχείων διαμόρφωσης. Αυτό το βοηθητικό πρόγραμμα σάς επιτρέπει να δημιουργήσετε ένα ενοποιημένο αρχείο με όλες τις ρυθμίσεις από μια διαμόρφωση πολλαπλών αρχείων με includes.
  • Ο πάροχος κρυπτογράφησης FIPS έχει ενημερωθεί ώστε να υποστηρίζει την ντετερμινιστική δημιουργία ψηφιακών υπογραφών ECDSA (η ίδια υπογραφή δημιουργείται με τα ίδια δεδομένα εισόδου), σύμφωνα με τις απαιτήσεις του προτύπου FIPS 186-5.
  • Οι απαιτήσεις περιβάλλοντος δημιουργίας έχουν αυξηθεί. Η δημιουργία OpenSSL δεν απαιτεί πλέον εργαλεία με υποστήριξη ANSI-C. Απαιτείται πλέον ένας μεταγλωττιστής συμβατός με το πρότυπο C-99.
  • Οι συναρτήσεις που σχετίζονται με τη δομή EVP_PKEY_ASN1_METHOD έχουν καταργηθεί.
  • Η υποστήριξη για την πλατφόρμα VxWorks έχει διακοπεί.

Διορθώθηκαν ευπάθειες:

  • Το CVE-2025-9230 είναι ένα θέμα ευπάθειας στον κώδικα αποκρυπτογράφησης για μηνύματα CMS με κρυπτογράφηση με κωδικό πρόσβασης (PWRI). Το θέμα ευπάθειας μπορεί να οδηγήσει σε εγγραφή ή ανάγνωση δεδομένων εκτός ορίων, κάτι που θα μπορούσε να οδηγήσει σε σφάλμα ή καταστροφή μνήμης σε μια εφαρμογή που χρησιμοποιεί OpenSSL για την επεξεργασία μηνυμάτων CMS. Ενώ η εκμετάλλευση αυτού του θέματος ευπάθειας για εκτέλεση κώδικα είναι πιθανή, η σοβαρότητα του προβλήματος μετριάζεται από το γεγονός ότι τα μηνύματα CMS με κρυπτογράφηση με κωδικό πρόσβασης σπάνια χρησιμοποιούνται στην πράξη. Εκτός από το OpenSSL 3.6.0, το θέμα ευπάθειας διορθώθηκε στις εκδόσεις OpenSSL 3.5.4, 3.4.3, 3.3.5, 3.2.6 και 3.0.18. Το πρόβλημα διορθώθηκε επίσης στις εκδόσεις LibreSSL 4.0.1 και 4.1.1, μια βιβλιοθήκη που αναπτύχθηκε από το έργο OpenBSD.
  • CVE-2025-9231 — Η υλοποίηση του αλγορίθμου SM2 είναι ευάλωτη σε επίθεση πλευρικού καναλιού. Σε συστήματα με CPU ARM 64-bit, αυτό επιτρέπει την ανάκτηση ιδιωτικού κλειδιού αναλύοντας τον χρονισμό των μεμονωμένων υπολογισμών. Η επίθεση μπορεί ενδεχομένως να πραγματοποιηθεί εξ αποστάσεως. Ο κίνδυνος της επίθεσης μετριάζεται από το γεγονός ότι το OpenSSL δεν υποστηρίζει άμεσα τη χρήση πιστοποιητικών με κλειδιά SM2 στο TLS.
  • Το CVE-2025-9232 είναι μια ευπάθεια στην ενσωματωμένη υλοποίηση του προγράμματος-πελάτη HTTP που επιτρέπει την ανάγνωση δεδομένων εκτός ορίων κατά την επεξεργασία μιας ειδικά δημιουργημένης διεύθυνσης URL σε συναρτήσεις προγράμματος-πελάτη HTTP. Το πρόβλημα εμφανίζεται μόνο όταν έχει οριστεί η μεταβλητή περιβάλλοντος "no_proxy" και μπορεί να οδηγήσει σε σφάλμα εφαρμογής.

Πηγή: opennet.ru

Αγοράστε αξιόπιστη φιλοξενία για ιστότοπους με προστασία DDoS, διακομιστές VPS VDS 🔥 Αγοράστε αξιόπιστη φιλοξενία ιστοσελίδων με προστασία DDoS, διακομιστές VPS VDS | ProHoster