ProHoster > בלוג > חדשות באינטרנט > OpenSSL 3.6.0 שוחרר עם תמיכה ב-EVP_SKEY ותיקון לגלישה ב-Buffer Overflow

OpenSSL 3.6.0 שוחרר עם תמיכה ב-EVP_SKEY ותיקון לגלישה ב-Buffer Overflow

OpenSSL 3.6.0, יישום של פרוטוקולי SSL/TLS ואלגוריתמי הצפנה שונים, יצא לאור. OpenSSL 3.6 היא גרסת תמיכה קבועה, עם עדכונים זמינים למשך 13 חודשים. התמיכה בגרסאות קודמות של OpenSSL - 3.5 LTS, 3.4, 3.3, 3.2 ו-3.0 LTS - תימשך עד אפריל 2030, אוקטובר 2026, אפריל 2026, נובמבר 2025 וספטמבר 2026, בהתאמה. קוד הפרויקט מורשה תחת רישיון Apache 2.0.

חידושים עיקריים:

  • נוספה תמיכה במבנה EVP_SKEY (Symmetric KEY) לייצוג מפתחות סימטריים כאובייקטים אטומים. בניגוד למפתחות גולמיים, המיוצגים כמערך בתים, EVP_SKEY מבצע תקציר של מבנה המפתחות ומכיל מטא-נתונים נוספים. ניתן להשתמש ב-EVP_SKEY בפונקציות הצפנה, החלפת מפתחות וגזירת מפתחות (KDF). הפונקציות EVP_KDF_CTX_set_SKEY(), EVP_KDF_derive_SKEY() ו-EVP_PKEY_derive_SKEY() נוספו לעבודה עם מפתחות EVP_SKEY.
  • נוספה תמיכה באימות חתימה דיגיטלית המבוססת על סכימת Leighton-Micali Signatures (LMS), המשתמשת בפונקציות hash ו-hashing מבוסס עץ בצורת עץ Merkle (כל ענף מאמת את כל הענפים והצמתים הבסיסיים). חתימות דיגיטליות של LMS עמידות בפני בדיקות Brute-Force במחשב קוונטי ונועדו לאמת את שלמות הקושחה והיישומים.
  • נוספה תמיכה בקטגוריות אבטחה של NIST עבור פרמטרי אובייקט PKEY (מפתחות ציבוריים ופרטיים). קטגוריית האבטחה נקבעת דרך ההגדרה "security-category". הפונקציה EVP_PKEY_get_security_category() נוספה כדי לבדוק את רמת האבטחה. רמת האבטחה משקפת את העמידות בפני התקפות Brute-Force על מחשבים קוונטיים ויכולה לקבל ערכים שלמים מ-0 עד 5:
    • 0 - יישום אינו עמיד בפני פריצה במחשבים קוונטיים;
    • 1/3/5 - המימוש אינו שולל חיפוש במחשב קוונטי אחר מפתח בצופן בלוקים עם מפתח של 128/192/256 סיביות;
    • 2/4 - המימוש אינו שולל את האפשרות לחפש התנגשות בגיבוב של 256/384 סיביות במחשב קוונטי).
  • הפקודה "openssl configutl" נוספה לעיבוד קבצי תצורה. כלי זה מאפשר לך ליצור קובץ מאוחד עם כל ההגדרות מתצורה מרובת קבצים עם includes.
  • ספק הקריפטוגרפיה של FIPS עודכן כדי לתמוך ביצירה דטרמיניסטית של חתימות דיגיטליות של ECDSA (אותה חתימה נוצרת עם אותם נתוני קלט), בהתאם לדרישות תקן FIPS 186-5.
  • דרישות סביבת הבנייה הוגברו. בניית OpenSSL אינה דורשת עוד כלים עם תמיכה ב-ANSI-C; כעת נדרש מהדר התואם לתקן C-99.
  • פונקציות הקשורות למבנה EVP_PKEY_ASN1_METHOD הוצאו משימוש.
  • התמיכה בפלטפורמת VxWorks הופסקה.

פגיעויות מתוקנות:

  • CVE-2025-9230 היא פגיעות בקוד הפענוח של הודעות CMS מוצפנות בסיסמה (PWRI). הפגיעות עלולה להוביל לכתיבה או קריאת נתונים מחוץ לתחום, מה שעלול להוביל לקריסה או פגיעה בזיכרון ביישום המשתמש ב-OpenSSL לעיבוד הודעות CMS. בעוד שניצל פגיעות זו לצורך ביצוע קוד אפשרי, חומרת הבעיה מופחתת על ידי העובדה שהודעות CMS מוצפנות בסיסמה נמצאות בשימוש לעתים רחוקות בפועל. בנוסף ל-OpenSSL 3.6.0, הפגיעות תוקנה ב-OpenSSL 3.5.4, 3.4.3, 3.3.5, 3.2.6 ו-3.0.18. הבעיה תוקנה גם ב-LibreSSL 4.0.1 ו-4.1.1, ספרייה שפותחה על ידי פרויקט OpenBSD.
  • CVE-2025-9231 - יישום אלגוריתם SM2 פגיע להתקפה צדדית. במערכות עם מעבדי ARM של 64 סיביות, הדבר מאפשר שחזור מפתח פרטי על ידי ניתוח תזמון החישובים הבודדים. ניתן לבצע את ההתקפה מרחוק. הסיכון להתקפה מופחת בשל העובדה ש-OpenSSL אינו תומך ישירות בשימוש בתעודות עם מפתחות SM2 ב-TLS.
  • CVE-2025-9232 היא פגיעות במימוש לקוח HTTP מובנה המאפשרת קריאת נתונים מחוץ לתחום בעת עיבוד כתובת URL שנוצרה במיוחד בפונקציות לקוח HTTP. הבעיה מתבטאת רק כאשר משתנה הסביבה "no_proxy" מוגדר ויכולה להוביל לקריסת אפליקציה.

מקור: OpenNet.ru

קנה אירוח אמין לאתרים עם הגנת DDoS, שרתי VPS VDS 🔥 קנה אחסון אתרים אמין עם הגנת DDoS, שרתי VPS VDS | ProHoster