OpenSSL 3.6.0, SSL/TLS протоколдорунун жана ар кандай шифрлөө алгоритмдеринин ишке ашырылышы чыгарылды. OpenSSL 3.6 үзгүлтүксүз колдоо чыгаруу болуп саналат, жаңыртуулары 13 айга жеткиликтүү. Мурунку OpenSSL релиздерин колдоо — 3.5 LTS, 3.4, 3.3, 3.2 жана 3.0 LTS — тиешелүүлүгүнө жараша 2030-жылдын апрелине, 2026-жылдын октябрына, 2026-жылдын апрелине, 2025-жылдын ноябрына жана 2026-жылдын сентябрына чейин уланат. Долбоордун коду Apache 2.0 Лицензиясына ылайык лицензияланган.
Негизги инновациялар:
- Симметриялык ачкычтарды тунук эмес объекттер катары көрсөтүү үчүн EVP_SKEY (Симметриялык АЧКЫЧ) түзүмү үчүн кошумча колдоо. Байт массиви катары берилген чийки ачкычтардан айырмаланып, EVP_SKEY ачкыч түзүмүн абстракциялайт жана кошумча метаберилиштерди камтыйт. EVP_SKEY шифрлөө, ачкыч алмашуу жана ачкычтарды чыгаруу (KDF) функцияларында колдонулушу мүмкүн. EVP_KDF_CTX_set_SKEY(), EVP_KDF_derive_SKEY() жана EVP_PKEY_derive_SKEY() функциялары EVP_SKEY баскычтары менен иштөө үчүн кошулган.
- Leighton-Micali Signatures (LMS) схемасынын негизинде санариптик кол тамганы текшерүү үчүн колдоо кошулду, ал хэш-функцияларды жана Merkle Tree түрүндөгү даракка негизделген хэшингди колдонот (ар бир бутак бардык негизги бутактарды жана түйүндөрдү текшерет). LMS санарип кол тамгалары кванттык компьютерде катаал күчтөргө туруштук берет жана микропрограмманын жана тиркемелердин бүтүндүгүн текшерүү үчүн иштелип чыккан.
- PKEY объектинин параметрлери үчүн NIST коопсуздук категорияларына колдоо кошулду (ачык жана купуя ачкычтар). Коопсуздук категориясы "коопсуздук категориясы" жөндөөсү аркылуу коюлат. Коопсуздук деңгээлин текшерүү үчүн EVP_PKEY_get_security_category() функциясы кошулду. Коопсуздук деңгээли кванттык компьютерлерге катаал күч чабуулдарына каршылык көрсөтүүнү чагылдырат жана 0дөн 5ке чейинки бүтүн сандарды ала алат:
- 0 - кванттык компьютерлерде хакерликке туруштук бербеген ишке ашыруу;
- 1/3/5 — ишке ашыруу кванттык компьютерде 128/192/256 биттик ачкыч менен блоктук шифрдеги ачкычты издөө мүмкүнчүлүгүн жокко чыгарбайт;
- 2/4 - ишке ашыруу кванттык компьютерде 256/384-бит хэште кагылышууну издөө мүмкүнчүлүгүн жокко чыгарбайт).
- Конфигурация файлдарын иштетүү үчүн "openssl configutl" буйругу кошулду. Бул утилита сизге камтылган көп файл конфигурациясынан бардык орнотуулары менен консолидацияланган файлды түзүүгө мүмкүндүк берет.
- FIPS криптографиялык камсыздоочу FIPS 186-5 стандартынын талаптарына ылайык, ECDSA санарип колтамгаларынын детерминисттик генерациясын колдоо үчүн жаңыртылган (ошол эле кол ошол эле киргизүү маалыматтары менен түзүлөт).
- Курулуштун экологиялык талаптары жогорулады. OpenSSL куруу мындан ары ANSI-C колдоосу менен куралдарды талап кылбайт; азыр C-99-компилятор талап кылынат.
- EVP_PKEY_ASN1_METHOD түзүмүнө тиешелүү функциялар эскирди.
- VxWorks платформасын колдоо токтотулду.
Оңдолгон кемчиликтер:
- CVE-2025-9230 - сырсөз менен шифрленген CMS билдирүүлөрүнүн (PWRI) шифрлөө кодунун алсыздыгы. Алсыздык чектен тышкаркы маалыматтарды жазууга же окууга алып келиши мүмкүн, бул CMS билдирүүлөрүн иштетүү үчүн OpenSSL колдонгон тиркемеде бузулууга же эстутумдун бузулушуна алып келиши мүмкүн. Кодду аткаруу үчүн бул кемчиликти колдонуу мүмкүн болсо да, маселенин олуттуулугу сырсөз менен шифрленген CMS билдирүүлөрүнүн практикада сейрек колдонулушу менен жеңилдейт. OpenSSL 3.6.0дан тышкары, аялуу OpenSSL 3.5.4, 3.4.3, 3.3.5, 3.2.6 жана 3.0.18де оңдолгон. Маселе OpenBSD долбоору тарабынан иштелип чыккан LibreSSL 4.0.1 жана 4.1.1 китепканасында да чечилген.
- CVE-2025-9231 — SM2 алгоритмин ишке ашыруу каптал каналдын чабуулуна дуушар болот. 64 биттик ARM процессорлору бар системаларда бул жекече эсептөөлөрдүн убактысын талдоо аркылуу жеке ачкычты калыбына келтирүүгө мүмкүндүк берет. Кол салуу алыстан жасалышы мүмкүн. Кол салуу коркунучу OpenSSL TLSде SM2 ачкычтары бар сертификаттарды колдонууну түздөн-түз колдобой тургандыгы менен азайтылат.
- CVE-2025-9232 - HTTP Client функцияларында атайын жасалган URL'ди иштеп чыгууда маалыматтарды чектен тышкаркы окууга мүмкүндүк берген орнотулган HTTP кардарын ишке ашыруудагы аялуу. Маселе "no_proxy" чөйрө өзгөрмөсү коюлганда гана пайда болот жана колдонмонун бузулушуна алып келиши мүмкүн.
Source: opennet.ru
