OpenSSL 3.6.0 EVP_SKEY સપોર્ટ અને બફર ઓવરફ્લો ફિક્સ સાથે રિલીઝ થયું

SSL/TLS પ્રોટોકોલ અને વિવિધ એન્ક્રિપ્શન અલ્ગોરિધમ્સનું અમલીકરણ, OpenSSL 3.6.0, રિલીઝ કરવામાં આવ્યું છે. OpenSSL 3.6 એ નિયમિત સપોર્ટ રિલીઝ છે, જેમાં 13 મહિના માટે અપડેટ્સ ઉપલબ્ધ છે. અગાઉના OpenSSL રિલીઝ - 3.5 LTS, 3.4, 3.3, 3.2, અને 3.0 LTS - માટે સપોર્ટ અનુક્રમે એપ્રિલ 2030, ઓક્ટોબર 2026, એપ્રિલ 2026, નવેમ્બર 2025 અને સપ્ટેમ્બર 2026 સુધી ચાલુ રહેશે. પ્રોજેક્ટનો કોડ Apache 2.0 લાઇસન્સ હેઠળ લાઇસન્સ પ્રાપ્ત છે.

મુખ્ય નવીનતાઓ:

• સપ્રમાણ કીને અપારદર્શક પદાર્થો તરીકે રજૂ કરવા માટે EVP_SKEY (સપ્રમાણ KEY) માળખા માટે ઉમેરાયેલ સપોર્ટ. કાચી કીથી વિપરીત, જે બાઇટ એરે તરીકે રજૂ થાય છે, EVP_SKEY કી માળખાને અમૂર્ત કરે છે અને તેમાં વધારાના મેટાડેટા શામેલ છે. EVP_SKEY નો ઉપયોગ એન્ક્રિપ્શન, કી એક્સચેન્જ અને કી ડેરિવેશન (KDF) ફંક્શનમાં થઈ શકે છે. EVP_KDF_CTX_set_SKEY(), EVP_KDF_derive_SKEY(), અને EVP_PKEY_derive_SKEY() ફંક્શન્સને EVP_SKEY કી સાથે કામ કરવા માટે ઉમેરવામાં આવ્યા છે.
• લેઇટન-મિકાલી સિગ્નેચર્સ (LMS) સ્કીમ પર આધારિત ડિજિટલ સિગ્નેચર વેરિફિકેશન માટે સપોર્ટ ઉમેરવામાં આવ્યો છે, જે મર્કલ ટ્રી (દરેક શાખા બધી અંતર્ગત શાખાઓ અને નોડ્સને ચકાસે છે) ના સ્વરૂપમાં હેશ ફંક્શન્સ અને ટ્રી-આધારિત હેશિંગનો ઉપયોગ કરે છે. LMS ડિજિટલ સિગ્નેચર ક્વોન્ટમ કમ્પ્યુટર પર બ્રુટ-ફોર્સ પરીક્ષણ માટે પ્રતિરોધક છે અને ફર્મવેર અને એપ્લિકેશનોની અખંડિતતા ચકાસવા માટે રચાયેલ છે.
• PKEY ઑબ્જેક્ટ પેરામીટર્સ (જાહેર અને ખાનગી કી) માટે NIST સુરક્ષા શ્રેણીઓ માટે ઉમેરાયેલ સપોર્ટ. સુરક્ષા શ્રેણી "સુરક્ષા-શ્રેણી" સેટિંગ દ્વારા સેટ કરવામાં આવી છે. સુરક્ષા સ્તર તપાસવા માટે EVP_PKEY_get_security_category() ફંક્શન ઉમેરવામાં આવ્યું છે. સુરક્ષા સ્તર ક્વોન્ટમ કમ્પ્યુટર્સ પર બ્રુટ-ફોર્સ હુમલાઓ સામે પ્રતિકારને પ્રતિબિંબિત કરે છે અને 0 થી 5 સુધી પૂર્ણાંક મૂલ્યો લઈ શકે છે:
  • 0 - અમલીકરણ ક્વોન્ટમ કમ્પ્યુટર્સ પર હેકિંગ માટે પ્રતિરોધક નથી;
  • ૧/૩/૫ — અમલીકરણ ૧૨૮/૧૯૨/૨૫૬-બીટ કી સાથે બ્લોક સાઇફરમાં કી માટે ક્વોન્ટમ કમ્પ્યુટર પર શોધને બાકાત રાખતું નથી;
  • 2/4 - અમલીકરણ ક્વોન્ટમ કમ્પ્યુટર પર 256/384-બીટ હેશમાં અથડામણ શોધવાની શક્યતાને બાકાત રાખતું નથી).
• રૂપરેખાંકન ફાઇલોની પ્રક્રિયા કરવા માટે "openssl configutl" આદેશ ઉમેરવામાં આવ્યો છે. આ ઉપયોગિતા તમને સમાવિષ્ટો સાથે મલ્ટી-ફાઇલ રૂપરેખાંકનમાંથી બધી સેટિંગ્સ સાથે એકીકૃત ફાઇલ જનરેટ કરવાની મંજૂરી આપે છે.
• FIPS 186-5 ધોરણની જરૂરિયાતો અનુસાર, FIPS ક્રિપ્ટોગ્રાફિક પ્રદાતાને ECDSA ડિજિટલ હસ્તાક્ષરો (સમાન ઇનપુટ ડેટા સાથે સમાન સહી જનરેટ થાય છે) ના નિર્ણાયક જનરેશનને સમર્થન આપવા માટે અપડેટ કરવામાં આવ્યું છે.
• બિલ્ડ પર્યાવરણની જરૂરિયાતોમાં વધારો કરવામાં આવ્યો છે. OpenSSL બનાવવા માટે હવે ANSI-C સપોર્ટવાળા સાધનોની જરૂર નથી; C-99 સ્ટાન્ડર્ડ સાથે સુસંગત કમ્પાઇલર હવે જરૂરી છે.
• EVP_PKEY_ASN1_METHOD માળખાને લગતા કાર્યો દૂર કરવામાં આવ્યા છે.
• VxWorks પ્લેટફોર્મ માટે સપોર્ટ બંધ કરવામાં આવ્યો છે.

સ્થિર નબળાઈઓ:

• CVE-2025-9230 એ પાસવર્ડ-એન્ક્રિપ્ટેડ CMS સંદેશાઓ (PWRI) માટે ડિક્રિપ્શન કોડમાં એક નબળાઈ છે. આ નબળાઈને કારણે ડેટા લખવામાં કે વાંચવામાં મુશ્કેલી પડી શકે છે, જેના કારણે CMS સંદેશાઓ પર પ્રક્રિયા કરવા માટે OpenSSL નો ઉપયોગ કરતી એપ્લિકેશનમાં ક્રેશ અથવા મેમરી ભ્રષ્ટાચાર થઈ શકે છે. કોડ એક્ઝેક્યુશન માટે આ નબળાઈનો ઉપયોગ શક્ય છે, પરંતુ સમસ્યાની ગંભીરતા એ હકીકત દ્વારા ઓછી થાય છે કે પાસવર્ડ-એન્ક્રિપ્ટેડ CMS સંદેશાઓ વ્યવહારમાં ભાગ્યે જ ઉપયોગમાં લેવાય છે. OpenSSL 3.6.0 ઉપરાંત, OpenSSL 3.5.4, 3.4.3, 3.3.5, 3.2.6 અને 3.0.18 માં નબળાઈને ઠીક કરવામાં આવી હતી. OpenBSD પ્રોજેક્ટ દ્વારા વિકસાવવામાં આવેલી લાઇબ્રેરી, LibreSSL 4.0.1 અને 4.1.1 માં પણ આ સમસ્યાને ઠીક કરવામાં આવી હતી.
• CVE-2025-9231 — SM2 અલ્ગોરિધમનો અમલ સાઇડ-ચેનલ હુમલા માટે સંવેદનશીલ છે. 64-બીટ ARM CPU ધરાવતી સિસ્ટમો પર, આ વ્યક્તિગત ગણતરીઓના સમયનું વિશ્લેષણ કરીને ખાનગી કી પુનઃપ્રાપ્તિને મંજૂરી આપે છે. હુમલો સંભવિત રીતે દૂરસ્થ રીતે કરી શકાય છે. OpenSSL TLS માં SM2 કી સાથે પ્રમાણપત્રોના ઉપયોગને સીધી રીતે સમર્થન આપતું નથી તે હકીકત દ્વારા હુમલાનું જોખમ ઓછું થાય છે.
• CVE-2025-9232 એ બિલ્ટ-ઇન HTTP ક્લાયંટ અમલીકરણમાં એક નબળાઈ છે જે HTTP ક્લાયંટ ફંક્શન્સમાં ખાસ બનાવેલા URL ને પ્રોસેસ કરતી વખતે આઉટ-ઓફ-બાઉન્ડ્સ ડેટા રીડિંગની મંજૂરી આપે છે. આ સમસ્યા ફક્ત ત્યારે જ પ્રગટ થાય છે જ્યારે "no_proxy" પર્યાવરણ ચલ સેટ હોય અને એપ્લિકેશન ક્રેશ તરફ દોરી શકે છે.

સોર્સ: opennet.ru