ProHoster > Blog > naidheachdan eadar-lìn > OpenSSL 3.6.0 air fhoillseachadh le taic EVP_SKEY agus càradh air cus-shruthadh bufair

OpenSSL 3.6.0 air fhoillseachadh le taic EVP_SKEY agus càradh air cus-shruthadh bufair

Chaidh OpenSSL 3.6.0, buileachadh de na protocolaidhean SSL/TLS agus diofar algairidhean crioptachaidh, fhoillseachadh. Tha OpenSSL 3.6 na fhoillseachadh taic cunbhalach, le ùrachaidhean rim faighinn airson 13 mìosan. Cumaidh taic airson fiosan OpenSSL roimhe - 3.5 LTS, 3.4, 3.3, 3.2, agus 3.0 LTS - a’ dol gu Giblean 2030, Dàmhair 2026, Giblean 2026, Samhain 2025, agus Sultain 2026, fa leth. Tha còd a’ phròiseict fo cheadachas Apache 2.0.

Prìomh innleachdan:

  • Chaidh taic a chur ris airson structar EVP_SKEY (Symmetric KEY) airson iuchraichean co-chothromach a riochdachadh mar nithean neo-shoilleir. Eu-coltach ri iuchraichean amh, a tha air an riochdachadh mar sreath byte, bidh EVP_SKEY a’ dèanamh geàrr-chunntas air structar na h-iuchrach agus tha meata-dhàta a bharrachd ann. Faodar EVP_SKEY a chleachdadh ann an crioptachadh, iomlaid iuchraichean, agus gnìomhan toraidh iuchraichean (KDF). Chaidh na gnìomhan EVP_KDF_CTX_set_SKEY(), EVP_KDF_derive_SKEY(), agus EVP_PKEY_derive_SKEY() a chur ris airson obrachadh le iuchraichean EVP_SKEY.
  • Chaidh taic a chur ris airson dearbhadh ainmean-sgrìobhte didseatach stèidhichte air sgeama Leighton-Micali Signatures (LMS), a bhios a’ cleachdadh gnìomhan hash agus hashing stèidhichte air craobh ann an cruth Craobh Merkle (bidh gach meur a’ dearbhadh a h-uile meur agus nod bunaiteach). Tha ainmean-sgrìobhte didseatach LMS an aghaidh deuchainnean feachd brùideil air coimpiutair cuantamach agus tha iad air an dealbhadh gus ionracas firmware agus aplacaidean a dhearbhadh.
  • Taic a bharrachd airson roinnean tèarainteachd NIST airson paramadairean nì PKEY (iuchraichean poblach is prìobhaideach). Tha an roinn tèarainteachd air a shuidheachadh tron ​​t-suidheachadh "roinn-tèarainteachd". Chaidh an gnìomh EVP_PKEY_get_security_category() a chur ris gus an ìre tèarainteachd a sgrùdadh. Tha an ìre tèarainteachd a’ nochdadh an aghaidh ionnsaighean feachd-brùideil air coimpiutairean cuantamach agus faodaidh e luachan slàn a ghabhail bho 0 gu 5:
    • 0 - chan eil an cur an gnìomh an aghaidh hacaidh air coimpiutairean cuantamach;
    • 1/3/5 — chan eil an cur an gnìomh a’ cur às do bhith a’ lorg iuchair ann am bloc-chòd le iuchair 128/192/256-bit air coimpiutair cuantamach;
    • 2/4 - chan eil an cur an gnìomh a’ cur às don chothrom gum faodar bualadh a lorg ann an hash 256/384-bit air coimpiutair cuantamach).
  • Chaidh an àithne "openssl configutl" a chur ris airson faidhlichean rèiteachaidh a phròiseasadh. Leigidh an goireas seo leat faidhle co-dhlùthaichte a chruthachadh leis na roghainnean uile bho rèiteachadh ioma-fhaidhle le includes.
  • Chaidh an solaraiche crioptagrafach FIPS ùrachadh gus taic a thoirt do ghinealach cinnteach de shoidhnichean didseatach ECDSA (thèid an aon shoidhne a chruthachadh leis an aon dàta cuir-a-steach), a rèir riatanasan inbhe FIPS 186-5.
  • Chaidh riatanasan na h-àrainneachd togail a mheudachadh. Chan eil feum air innealan le taic ANSI-C tuilleadh airson OpenSSL a thogail; tha feum a-nis air co-chruinneadair a tha co-chòrdail ris an inbhe C-99.
  • Chaidh gnìomhan co-cheangailte ris an structar EVP_PKEY_ASN1_METHOD a chur à bith.
  • Chaidh stad a chur air taic airson àrd-ùrlar VxWorks.

So-leòntachd stèidhichte:

  • ’S e so-leòntachd a th’ ann an CVE-2025-9230 anns a’ chòd dì-chrioptachaidh airson teachdaireachdan CMS crioptaichte le facal-faire (PWRI). Faodaidh an so-leòntachd leantainn gu dàta taobh a-muigh crìochan ga sgrìobhadh no ga leughadh, agus dh’ fhaodadh sin leantainn gu tubaist no coirbeachd cuimhne ann an aplacaid a bhios a’ cleachdadh OpenSSL gus teachdaireachdan CMS a phròiseasadh. Ged a tha e comasach an so-leòntachd seo a chleachdadh airson còd a chur an gnìomh, tha cho dona sa tha an duilgheadas air a lughdachadh leis gu bheil teachdaireachdan CMS crioptaichte le facal-faire air an cleachdadh gu tearc ann an cleachdadh. A bharrachd air OpenSSL 3.6.0, chaidh an so-leòntachd a rèiteachadh ann an OpenSSL 3.5.4, 3.4.3, 3.3.5, 3.2.6, agus 3.0.18. Chaidh an duilgheadas a rèiteachadh cuideachd ann an LibreSSL 4.0.1 agus 4.1.1, leabharlann a chaidh a leasachadh leis a’ phròiseact OpenBSD.
  • CVE-2025-9231 — Tha cur an gnìomh algairim SM2 so-leònte ri ionnsaigh seanail-taobh. Air siostaman le CPUan ARM 64-bit, leigidh seo le faighinn air ais iuchair phrìobhaideach le bhith a’ dèanamh anailis air àm àireamhachadh fa leth. Dh’ fhaodadh an ionnsaigh a bhith air a dhèanamh air astar. Tha cunnart an ionnsaigh air a lughdachadh leis nach eil OpenSSL a’ toirt taic dhìreach do chleachdadh theisteanasan le iuchraichean SM2 ann an TLS.
  • ’S e so-leòntachd a th’ ann an CVE-2025-9232 anns an cur an gnìomh HTTP client togte a leigeas le leughadh dàta taobh a-muigh crìochan nuair a thathar a’ giullachd URL air a dhealbhadh gu sònraichte ann an gnìomhan HTTP Client. Chan eil an duilgheadas a’ nochdadh ach nuair a thèid an caochladair àrainneachd “no_proxy” a shuidheachadh agus faodaidh e leantainn gu tuiteam tagraidh.

Source: fosgailtenet.ru

Cuir beachd ann