🥇OpenSSL 3.6.0 EVP_SKEY सपोर्ट आणि बफर ओव्हरफ्लो फिक्ससह रिलीज झाले

SSL/TLS प्रोटोकॉल आणि विविध एन्क्रिप्शन अल्गोरिदमचे अंमलबजावणी करणारे OpenSSL 3.6.0, रिलीज झाले आहे. OpenSSL 3.6 हे एक नियमित सपोर्ट रिलीज आहे, ज्यामध्ये १३ महिन्यांसाठी अपडेट्स उपलब्ध आहेत. मागील OpenSSL रिलीजसाठी सपोर्ट—३.५ LTS, ३.४, ३.३, ३.२ आणि ३.० LTS—अनुक्रमे एप्रिल २०३०, ऑक्टोबर २०२६, एप्रिल २०२६, नोव्हेंबर २०२५ आणि सप्टेंबर २०२६ पर्यंत सुरू राहील. प्रकल्पाचा कोड Apache 2.0 परवान्याअंतर्गत परवानाकृत आहे.

मुख्य नवकल्पना:

सममितीय कीजना अपारदर्शक वस्तू म्हणून दर्शविण्याकरिता EVP_SKEY (सममितीय KEY) संरचनेसाठी अतिरिक्त समर्थन. बाइट अ‍ॅरे म्हणून दर्शविल्या जाणाऱ्या रॉ कीजच्या विपरीत, EVP_SKEY की स्ट्रक्चरचे सारांश देते आणि त्यात अतिरिक्त मेटाडेटा असतो. EVP_SKEY एन्क्रिप्शन, की एक्सचेंज आणि की डेरिव्हेशन (KDF) फंक्शन्समध्ये वापरले जाऊ शकते. EVP_KDF_CTX_set_SKEY(), EVP_KDF_derive_SKEY(), आणि EVP_PKEY_derive_SKEY() फंक्शन्स EVP_SKEY कीजसह काम करण्यासाठी जोडले गेले आहेत.
लेइटन-मिकली सिग्नेचर्स (LMS) योजनेवर आधारित डिजिटल सिग्नेचर पडताळणीसाठी समर्थन जोडले गेले आहे, जे मर्कल ट्रीच्या स्वरूपात हॅश फंक्शन्स आणि ट्री-बेस्ड हॅशिंग वापरते (प्रत्येक शाखा सर्व अंतर्निहित शाखा आणि नोड्स सत्यापित करते). LMS डिजिटल सिग्नेचर क्वांटम संगणकावर ब्रूट-फोर्स चाचणीला प्रतिरोधक असतात आणि फर्मवेअर आणि अनुप्रयोगांची अखंडता सत्यापित करण्यासाठी डिझाइन केलेले असतात.
PKEY ऑब्जेक्ट पॅरामीटर्स (सार्वजनिक आणि खाजगी की) साठी NIST सुरक्षा श्रेणींसाठी समर्थन जोडले. सुरक्षा श्रेणी "सुरक्षा-श्रेणी" सेटिंगद्वारे सेट केली जाते. सुरक्षा पातळी तपासण्यासाठी EVP_PKEY_get_security_category() फंक्शन जोडले गेले आहे. सुरक्षा पातळी क्वांटम संगणकांवरील क्रूर-फोर्स हल्ल्यांना प्रतिकार दर्शवते आणि 0 ते 5 पर्यंत पूर्णांक मूल्ये घेऊ शकते:
- ० - क्वांटम संगणकांवर हॅकिंगला प्रतिरोधक नसलेली अंमलबजावणी;
- १/३/५ — अंमलबजावणीमुळे क्वांटम संगणकावर १२८/१९२/२५६-बिट की वापरून ब्लॉक सायफरमध्ये की शोधण्याची शक्यता वगळली जात नाही;
- २/४ - अंमलबजावणीमुळे क्वांटम संगणकावरील २५६/३८४-बिट हॅशमध्ये टक्कर शोधण्याची शक्यता वगळली जात नाही).
कॉन्फिगरेशन फाइल्सवर प्रक्रिया करण्यासाठी "openssl configutl" कमांड जोडण्यात आला आहे. ही उपयुक्तता तुम्हाला समाविष्ट असलेल्या मल्टी-फाइल कॉन्फिगरेशनमधून सर्व सेटिंग्जसह एकत्रित फाइल तयार करण्याची परवानगी देते.
FIPS क्रिप्टोग्राफिक प्रदात्याला FIPS 186-5 मानकांच्या आवश्यकतांनुसार, ECDSA डिजिटल स्वाक्षरींच्या (समान स्वाक्षरी समान इनपुट डेटासह तयार केली जाते) निर्धारक निर्मितीला समर्थन देण्यासाठी अद्यतनित केले गेले आहे.
बिल्ड पर्यावरण आवश्यकता वाढवल्या गेल्या आहेत. OpenSSL बिल्डिंगसाठी आता ANSI-C सपोर्ट असलेल्या टूल्सची आवश्यकता नाही; आता C-99-अनुरूप कंपायलर आवश्यक आहे.
EVP_PKEY_ASN1_METHOD रचनेशी संबंधित कार्ये कालबाह्य झाली आहेत.
VxWorks प्लॅटफॉर्मसाठी समर्थन बंद करण्यात आले आहे.

निश्चित भेद्यता:

CVE-2025-9230 ही पासवर्ड-एनक्रिप्टेड CMS मेसेजेस (PWRI) साठी डिक्रिप्शन कोडमध्ये एक भेद्यता आहे. या भेद्यतेमुळे सीमा ओलांडून डेटा लिहिला किंवा वाचला जाऊ शकतो, ज्यामुळे CMS मेसेजेस प्रोसेस करण्यासाठी OpenSSL वापरणाऱ्या अॅप्लिकेशनमध्ये क्रॅश किंवा मेमरी करप्ट होऊ शकते. कोड एक्झिक्युशनसाठी या भेद्यतेचा वापर करणे शक्य असले तरी, पासवर्ड-एनक्रिप्टेड CMS मेसेजेस व्यवहारात क्वचितच वापरले जातात या वस्तुस्थितीमुळे समस्येची तीव्रता कमी होते. OpenSSL 3.6.0 व्यतिरिक्त, OpenSSL 3.5.4, 3.4.3, 3.3.5, 3.2.6 आणि 3.0.18 मध्ये भेद्यता निश्चित करण्यात आली होती. OpenBSD प्रोजेक्टद्वारे विकसित केलेल्या लायब्ररी, LibreSSL 4.0.1 आणि 4.1.1 मध्ये देखील ही समस्या निश्चित करण्यात आली होती.
CVE-2025-9231 — SM2 अल्गोरिथमची अंमलबजावणी साइड-चॅनेल हल्ल्यासाठी असुरक्षित आहे. 64-बिट ARM CPU असलेल्या सिस्टमवर, हे वैयक्तिक गणनांच्या वेळेचे विश्लेषण करून खाजगी की पुनर्प्राप्ती करण्यास अनुमती देते. हल्ला संभाव्यतः दूरस्थपणे केला जाऊ शकतो. OpenSSL TLS मध्ये SM2 की असलेल्या प्रमाणपत्रांच्या वापरास थेट समर्थन देत नाही या वस्तुस्थितीमुळे हल्ल्याचा धोका कमी होतो.
CVE-2025-9232 ही बिल्ट-इन HTTP क्लायंट अंमलबजावणीमधील एक भेद्यता आहे जी HTTP क्लायंट फंक्शन्समध्ये विशेषतः तयार केलेल्या URL वर प्रक्रिया करताना सीमाबाहेर डेटा वाचण्याची परवानगी देते. ही समस्या फक्त तेव्हाच दिसून येते जेव्हा "no_proxy" पर्यावरण व्हेरिएबल सेट केले जाते आणि त्यामुळे अनुप्रयोग क्रॅश होऊ शकतो.

स्त्रोत: opennet.ru