SSL/TLS ප්රොටෝකෝල සහ විවිධ සංකේතාංකන ඇල්ගොරිතම ක්රියාත්මක කිරීමක් වන OpenSSL 3.6.0 නිකුත් කර ඇත. OpenSSL 3.6 යනු නිත්ය සහාය නිකුතුවක් වන අතර, මාස 13ක් සඳහා යාවත්කාලීන කිරීම් ලබා ගත හැකිය. පෙර OpenSSL නිකුතු සඳහා සහාය—3.5 LTS, 3.4, 3.3, 3.2, සහ 3.0 LTS—පිළිවෙලින් අප්රේල් 2030, ඔක්තෝබර් 2026, අප්රේල් 2026, නොවැම්බර් 2025 සහ සැප්තැම්බර් 2026 දක්වා පවතිනු ඇත. ව්යාපෘතියේ කේතය Apache 2.0 බලපත්රය යටතේ බලපත්ර ලබා ඇත.
ප්රධාන නවෝත්පාදන:
- සමමිතික යතුරු පාරාන්ධ වස්තූන් ලෙස නිරූපණය කිරීම සඳහා EVP_SKEY (සමමිතික KEY) ව්යුහය සඳහා සහය එක් කරන ලදී. බයිට් අරාවක් ලෙස නිරූපණය වන අමු යතුරු මෙන් නොව, EVP_SKEY යතුරු ව්යුහය සාරාංශ කරන අතර අතිරේක පාර-දත්ත අඩංගු වේ. EVP_SKEY සංකේතනය, යතුරු හුවමාරුව සහ යතුරු ව්යුත්පන්න (KDF) ශ්රිතවල භාවිතා කළ හැක. EVP_KDF_CTX_set_SKEY(), EVP_KDF_derive_SKEY(), සහ EVP_PKEY_derive_SKEY() ශ්රිත EVP_SKEY යතුරු සමඟ වැඩ කිරීම සඳහා එකතු කර ඇත.
- මර්කල් ගසක ස්වරූපයෙන් හැෂ් ශ්රිත සහ ගස් පාදක හැෂිං භාවිතා කරන ලයිටන්-මිකාලි සිග්නේචර්ස් (LMS) යෝජනා ක්රමය මත පදනම් වූ ඩිජිටල් අත්සන සත්යාපනය සඳහා සහාය එක් කර ඇත (එක් එක් ශාඛාව යටින් පවතින සියලුම ශාඛා සහ නෝඩ් සත්යාපනය කරයි). LMS ඩිජිටල් අත්සන් ක්වොන්ටම් පරිගණකයක බෲට්-ෆෝස් පරීක්ෂණවලට ප්රතිරෝධී වන අතර ස්ථිරාංග සහ යෙදුම්වල අඛණ්ඩතාව සත්යාපනය කිරීමට නිර්මාණය කර ඇත.
- PKEY වස්තු පරාමිතීන් (පොදු සහ පෞද්ගලික යතුරු) සඳහා NIST ආරක්ෂක කාණ්ඩ සඳහා සහය එක් කරන ලදී. ආරක්ෂක කාණ්ඩය "ආරක්ෂක-ප්රවර්ග" සැකසුම හරහා සකසා ඇත. ආරක්ෂක මට්ටම පරීක්ෂා කිරීම සඳහා EVP_PKEY_get_security_category() ශ්රිතය එකතු කර ඇත. ආරක්ෂක මට්ටම ක්වොන්ටම් පරිගණකවල බෲට්-ෆෝස් ප්රහාරවලට ඇති ප්රතිරෝධය පිළිබිඹු කරන අතර පූර්ණ සංඛ්යා අගයන් 0 සිට 5 දක්වා ගත හැකිය:
- 0 - ක්වොන්ටම් පරිගණකවලට අනවසරයෙන් ඇතුළුවීමට ප්රතිරෝධී නොවන ක්රියාත්මක කිරීම;
- 1/3/5 — ක්රියාත්මක කිරීම ක්වොන්ටම් පරිගණකයක 128/192/256-bit යතුරක් සහිත බ්ලොක් කේතාංකයක යතුරක් සෙවීමේ හැකියාව බැහැර නොකරයි;
- 2/4 - ක්රියාත්මක කිරීම ක්වොන්ටම් පරිගණකයක 256/384-bit හැෂ් එකක ගැටීමක් සෙවීමේ හැකියාව බැහැර නොකරයි).
- වින්යාස ගොනු සැකසීම සඳහා "openssl configutl" විධානය එකතු කර ඇත. මෙම උපයෝගීතාව මඟින් ඔබට බහු-ගොනු වින්යාසයකින් සියලුම සැකසුම් සහිත ඒකාබද්ධ ගොනුවක් ජනනය කිරීමට ඉඩ සලසයි.
- FIPS 186-5 ප්රමිතියේ අවශ්යතාවලට අනුකූලව, ECDSA ඩිජිටල් අත්සන් (එකම අත්සන එකම ආදාන දත්ත සමඟ ජනනය වේ) නිර්ණය කිරීමේ උත්පාදනයට සහාය වීම සඳහා FIPS ගුප්ත ලේඛන සැපයුම්කරු යාවත්කාලීන කර ඇත.
- ගොඩනැගීමේ පරිසර අවශ්යතා වැඩි කර ඇත. OpenSSL ගොඩනැගීමට තවදුරටත් ANSI-C සහාය ඇති මෙවලම් අවශ්ය නොවේ; C-99-අනුකූල සම්පාදකයක් දැන් අවශ්ය වේ.
- EVP_PKEY_ASN1_METHOD ව්යුහයට අදාළ ශ්රිත අත්හැර දමා ඇත.
- VxWorks වේදිකාව සඳහා සහාය නතර කර ඇත.
ස්ථාවර දුර්වලතා:
- CVE-2025-9230 යනු මුරපද-සංකේතනය කළ CMS පණිවිඩ (PWRI) සඳහා විකේතන කේතයේ ඇති අවදානමකි. මෙම අවදානම සීමාවෙන් පිටත දත්ත ලිවීමට හෝ කියවීමට හේතු විය හැකි අතර, එය CMS පණිවිඩ සැකසීමට OpenSSL භාවිතා කරන යෙදුමක බිඳවැටීමක් හෝ මතක දූෂණයකට හේතු විය හැක. කේත ක්රියාත්මක කිරීම සඳහා මෙම අවදානම සූරාකෑමට හැකි වුවද, මුරපදය-සංකේතනය කළ CMS පණිවිඩ ප්රායෝගිකව කලාතුරකින් භාවිතා වන බැවින් ගැටලුවේ බරපතලකම අවම වේ. OpenSSL 3.6.0 ට අමතරව, OpenSSL 3.5.4, 3.4.3, 3.3.5, 3.2.6 සහ 3.0.18 හි අවදානම නිවැරදි කරන ලදී. OpenBSD ව්යාපෘතිය මගින් සංවර්ධනය කරන ලද පුස්තකාලයක් වන LibreSSL 4.0.1 සහ 4.1.1 හි ද ගැටළුව නිවැරදි කරන ලදී.
- CVE-2025-9231 — SM2 ඇල්ගොරිතම ක්රියාත්මක කිරීම පැති-නාලිකා ප්රහාරයකට ගොදුරු විය හැකිය. 64-bit ARM CPU සහිත පද්ධතිවල, මෙය තනි ගණනය කිරීම්වල වේලාව විශ්ලේෂණය කිරීමෙන් පුද්ගලික යතුරු ප්රතිසාධනයට ඉඩ සලසයි. ප්රහාරය දුරස්ථව සිදු කළ හැකිය. TLS හි SM2 යතුරු සහිත සහතික භාවිතයට OpenSSL සෘජුවම සහාය නොදක්වන බැවින් ප්රහාරයේ අවදානම අවම වේ.
- CVE-2025-9232 යනු HTTP සේවාදායක ශ්රිතවල විශේෂයෙන් නිර්මාණය කරන ලද URL එකක් සැකසීමේදී සීමාවෙන් පිටත දත්ත කියවීමට ඉඩ සලසන බිල්ට්-ඉන් HTTP සේවාදායක ක්රියාත්මක කිරීමේ අවදානමකි. "no_proxy" පරිසර විචල්යය සකසා ඇති විට පමණක් ගැටළුව ප්රකාශ වන අතර එය යෙදුම් බිඳවැටීමකට තුඩු දිය හැකිය.
මූලාශ්රය: opennet.ru
