ProHoster > ဘလော့ > အင်တာနက်သတင်း > EVP_SKEY ပံ့ပိုးမှု နှင့် Buffer Overflow Fix ဖြင့် ထုတ်ပြန်ထားသော OpenSSL 3.6.0

EVP_SKEY ပံ့ပိုးမှု နှင့် Buffer Overflow Fix ဖြင့် ထုတ်ပြန်ထားသော OpenSSL 3.6.0

OpenSSL 3.6.0၊ SSL/TLS ပရိုတိုကောများနှင့် အမျိုးမျိုးသော ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်များကို အကောင်အထည်ဖော်ရန် ထုတ်ပြန်လိုက်ပါပြီ။ OpenSSL 3.6 သည် 13 လကြာ အပ်ဒိတ်များ ရရှိနိုင်သော ပုံမှန်ပံ့ပိုးကူညီမှု ထုတ်ဝေမှုတစ်ခုဖြစ်သည်။ ယခင် OpenSSL ဖြန့်ချိမှုများ—3.5 LTS၊ 3.4၊ 3.3၊ 3.2၊ နှင့် 3.0 LTS—တို့သည် ဧပြီလ 2030၊ အောက်တိုဘာလ 2026၊ ဧပြီ 2026၊ နိုဝင်ဘာ 2025 နှင့် စက်တင်ဘာလ 2026 အထိ အသီးသီး ဆက်လက်ရှိနေမည်ဖြစ်သည်။ ပရောဂျက်၏ကုဒ်ကို Apache 2.0 လိုင်စင်အောက်တွင် လိုင်စင်ရထားသည်။

အဓိက တီထွင်ဆန်းသစ်မှုများ-

  • EVP_SKEY (Symmetric KEY) တည်ဆောက်ပုံအတွက် ပေါင်းစပ်သော့များကို အလင်းပြသော အရာများအဖြစ် ကိုယ်စားပြုခြင်းအတွက် ထပ်လောင်းပံ့ပိုးမှု။ byte အခင်းအကျင်းအဖြစ် ကိုယ်စားပြုသည့် ကုန်ကြမ်းသော့များနှင့် မတူဘဲ၊ EVP_SKEY သည် သော့ဖွဲ့စည်းပုံကို သရုပ်ဖော်ပြီး မက်တာဒေတာ အပိုပါရှိသည်။ EVP_SKEY ကို ကုဒ်ဝှက်ခြင်း၊ သော့လဲလှယ်ခြင်းနှင့် သော့ထုတ်ယူခြင်း (KDF) လုပ်ဆောင်ချက်များတွင် အသုံးပြုနိုင်သည်။ EVP_KDF_CTX_set_SKEY(), EVP_KDF_derive_SKEY(), နှင့် EVP_PKEY_derive_SKEY() လုပ်ဆောင်ချက်များကို EVP_SKEY သော့များဖြင့် လုပ်ဆောင်ရန်အတွက် ထည့်သွင်းထားပါသည်။
  • Leighton-Micali Signatures (LMS) အစီအစဉ်ကို အခြေခံ၍ ဒစ်ဂျစ်တယ် လက်မှတ်အတည်ပြုခြင်းအတွက် ပံ့ပိုးကူညီမှုအား ထည့်သွင်းထားပြီး၊ hash လုပ်ဆောင်ချက်များနှင့် Merkle Tree ပုံစံဖြင့် သစ်ပင်အခြေပြု ဟက်ခ်လုပ်ခြင်း (အကိုင်းအခက်တစ်ခုစီသည် အရင်းခံအကိုင်းအခက်များနှင့် ဆုံမှတ်အားလုံးကို စစ်ဆေးသည်)။ LMS ဒစ်ဂျစ်တယ်လက်မှတ်များသည် ကွမ်တမ်ကွန်ပြူတာတွင် brute-force စမ်းသပ်ခြင်းကိုခံနိုင်ရည်ရှိပြီး firmware နှင့် applications များ၏ခိုင်မာမှုကိုစစ်ဆေးရန်ဒီဇိုင်းပြုလုပ်ထားသည်။
  • PKEY အရာဝတ္ထု ကန့်သတ်ချက်များ (အများပြည်သူနှင့် သီးသန့်သော့များ) အတွက် NIST လုံခြုံရေး အမျိုးအစားများအတွက် ပံ့ပိုးမှု ပေါင်းထည့်ထားသည်။ လုံခြုံရေးအမျိုးအစားကို "လုံခြုံရေးအမျိုးအစား" ဆက်တင်မှတစ်ဆင့် သတ်မှတ်ထားသည်။ လုံခြုံရေးအဆင့်ကို စစ်ဆေးရန် EVP_PKEY_get_security_category() လုပ်ဆောင်ချက်ကို ထည့်သွင်းထားသည်။ လုံခြုံရေးအဆင့်သည် ကွမ်တမ်ကွန်ပျူတာများပေါ်တွင် brute-force တိုက်ခိုက်မှုများကို ခံနိုင်ရည်ရှိမှုကို ထင်ဟပ်စေပြီး ကိန်းပြည့်တန်ဖိုးများကို 0 မှ 5 အထိ ယူနိုင်သည်-
    • 0 - ကွမ်တမ်ကွန်ပျူတာများပေါ်တွင် ဟက်ကာများကို ခံနိုင်ရည်မရှိသော အကောင်အထည်ဖော်မှု၊
    • 1/3/5 — အကောင်အထည်ဖော်မှုသည် ကွမ်တမ်ကွန်ပျူတာရှိ 128/192/256-bit သော့ဖြင့် block cipher တစ်ခုတွင် သော့ကိုရှာဖွေရန် ဖြစ်နိုင်ခြေကို မပါဝင်ပါ။
    • 2/4 - အကောင်အထည်ဖော်မှုသည် ကွမ်တမ်ကွန်ပျူတာရှိ 256/384-bit hash တွင် တိုက်မိမှုတစ်ခုရှာဖွေရန် ဖြစ်နိုင်ခြေကို မပါဝင်ပါ။)
  • configuration ဖိုင်များကို လုပ်ဆောင်ရန်အတွက် "openssl configutl" အမိန့်ကို ထည့်သွင်းထားသည်။ ဤအသုံးအဆောင်သည် ပါဝင်သော ဖိုင်များစွာကို ဖွဲ့စည်းမှုစနစ်မှ ဆက်တင်များအားလုံးကို စုစည်းထားသော ဖိုင်တစ်ခုကို ထုတ်ပေးနိုင်သည်။
  • FIPS 186-5 စံသတ်မှတ်ချက်များနှင့်အညီ ECDSA ဒစ်ဂျစ်တယ်လက်မှတ်များ (တူညီသောလက်မှတ်ကို တူညီသောထည့်သွင်းမှုဒေတာဖြင့်ထုတ်ပေးသည်) ကို အဆုံးအဖြတ်ပေးမည့် ECDSA ဒစ်ဂျစ်တယ်လက်မှတ်များကို ပံ့ပိုးပေးရန်အတွက် FIPS ကုဒ်ဂရပ်ဖစ်ဝန်ဆောင်မှုပေးသူကို အပ်ဒိတ်လုပ်ထားပါသည်။
  • တည်ဆောက်ရေး ပတ်ဝန်းကျင် လိုအပ်ချက်တွေ တိုးလာတယ်။ OpenSSL တည်ဆောက်ရာတွင် ANSI-C ပံ့ပိုးမှုဖြင့် ကိရိယာများ မလိုအပ်တော့ပါ။ C-99-လိုက်နာနိုင်သော compiler ကို ယခု လိုအပ်ပါသည်။
  • EVP_PKEY_ASN1_METHOD ဖွဲ့စည်းပုံနှင့် သက်ဆိုင်သည့် လုပ်ဆောင်ချက်များကို ရပ်ဆိုင်းထားသည်။
  • VxWorks ပလပ်ဖောင်းအတွက် ပံ့ပိုးမှုကို ရပ်ဆိုင်းလိုက်ပါပြီ။

ပြင်ဆင်ထားသော အားနည်းချက်များ-

  • CVE-2025-9230 သည် စကားဝှက်-ကုဒ်ဝှက်ထားသော CMS မက်ဆေ့ချ်များ (PWRI) အတွက် ကုဒ်ဝှက်ကုဒ်တွင် အားနည်းချက်တစ်ခုဖြစ်သည်။ အားနည်းချက်သည် CMS မက်ဆေ့ချ်များကို လုပ်ဆောင်ရန် OpenSSL ကိုအသုံးပြုသည့် အက်ပလီကေးရှင်းတွင် ပျက်စီးမှု သို့မဟုတ် မှတ်ဉာဏ်ယိုယွင်းမှုဖြစ်စေနိုင်သည့် ပြင်ပဒေတာများကို ရေးသားခြင်း သို့မဟုတ် ဖတ်ခြင်းဆီသို့ ဦးတည်သွားစေနိုင်သည်။ ကုဒ်လုပ်ဆောင်မှုအတွက် ဤအားနည်းချက်ကို အသုံးချခြင်းမှာ ဖြစ်နိုင်သော်လည်း၊ စကားဝှက်ဝှက်ထားသော CMS မက်ဆေ့ချ်များကို လက်တွေ့တွင် အသုံးပြုခဲသည်ဟူသောအချက်ကြောင့် ပြဿနာ၏ပြင်းထန်မှုကို လျော့ပါးသွားစေသည်။ OpenSSL 3.6.0 အပြင်၊ OpenSSL 3.5.4၊ 3.4.3၊ 3.3.5၊ 3.2.6 နှင့် 3.0.18 တို့တွင် အားနည်းချက်ကို ပြင်ဆင်ထားပါသည်။ OpenBSD ပရောဂျက်မှ ဖန်တီးထားသည့် စာကြည့်တိုက်တစ်ခုဖြစ်သည့် LibreSSL 4.0.1 နှင့် 4.1.1 တွင်လည်း ပြဿနာကို ဖြေရှင်းခဲ့သည်။
  • CVE-2025-9231 — SM2 အယ်လဂိုရီသမ်ကို အကောင်အထည်ဖော်ခြင်းသည် ဘေးထွက်ချန်နယ်တိုက်ခိုက်မှုကို ခံနိုင်ရည်ရှိသည်။ 64-bit ARM CPU များပါရှိသော စနစ်များတွင်၊ ၎င်းသည် တစ်ဦးချင်း တွက်ချက်မှုအချိန်ကို ခွဲခြမ်းစိတ်ဖြာခြင်းဖြင့် သီးသန့်သော့ပြန်လည်ရယူခြင်းကို ခွင့်ပြုသည်။ တိုက်ခိုက်မှုကို အဝေးမှ ဆောင်ရွက်နိုင်မည်ဖြစ်သည်။ OpenSSL သည် TLS ရှိ SM2 သော့များဖြင့် လက်မှတ်များအသုံးပြုခြင်းကို တိုက်ရိုက်မပံ့ပိုးနိုင်သောကြောင့် တိုက်ခိုက်မှု၏အန္တရာယ်ကို လျော့ပါးစေပါသည်။
  • CVE-2025-9232 သည် HTTP Client လုပ်ဆောင်ချက်များတွင် အထူးဖန်တီးထားသော URL ကို လုပ်ဆောင်သည့်အခါတွင် အကန့်အသတ်မရှိ ဒေတာဖတ်ရှုခြင်းကို ခွင့်ပြုသည့် built-in HTTP client အကောင်အထည်ဖော်မှုတွင် အားနည်းချက်တစ်ခုဖြစ်သည်။ "no_proxy" ပတ် ၀ န်းကျင်ပြောင်းပြန်ပြောင်းကိုသတ်မှတ်ပြီးအပလီကေးရှင်းပျက်ဆီးသွားသောအခါမှသာပြဿနာပေါ်လာသည်။

source: opennet.ru

မှတ်ချက် Add