ProHoster > Blog > warta internét > OpenSSL 3.6.0 Dileupaskeun sareng EVP_SKEY Rojongan sareng Panyangga Overflow Fix

OpenSSL 3.6.0 Dileupaskeun sareng EVP_SKEY Rojongan sareng Panyangga Overflow Fix

OpenSSL 3.6.0, palaksanaan protokol SSL/TLS sarta sagala rupa algoritma enkripsi, geus dileupaskeun. OpenSSL 3.6 mangrupikeun sékrési dukungan biasa, kalayan apdet sayogi salami 13 bulan. Dukungan pikeun sékrési OpenSSL saméméhna-3.5 LTS, 3.4, 3.3, 3.2, sareng 3.0 LTS-bakal diteruskeun dugi ka April 2030, Oktober 2026, April 2026, Nopémber 2025, sareng Séptémber 2026, masing-masing. Kodeu proyék dilisensikeun dina Lisensi Apache 2.0.

Inovasi utama:

  • Ditambahkeun dukungan pikeun struktur EVP_SKEY (Symmetric KEY) pikeun ngagambarkeun konci simetris salaku objék opak. Teu kawas konci atah, nu digambarkeun salaku Asép Sunandar Sunarya bait, EVP_SKEY abstracts struktur konci na ngandung metadata tambahan. EVP_SKEY tiasa dianggo dina enkripsi, bursa konci, sareng fungsi turunan konci (KDF). EVP_KDF_CTX_set_SKEY (), EVP_KDF_derive_SKEY (), sarta EVP_PKEY_derive_SKEY () fungsi geus ditambahkeun pikeun gawé bareng kenop EVP_SKEY.
  • Rojongan geus ditambahkeun pikeun verifikasi tanda tangan digital dumasar kana skéma Leighton-Micali Signatures (LMS), nu ngagunakeun fungsi hash jeung hashing dumasar tangkal dina bentuk Tangkal Merkle (unggal cabang verifies sadaya cabang kaayaan sarta titik). Tanda tangan digital LMS tahan ka uji brute-force dina komputer kuantum sareng dirancang pikeun pariksa integritas firmware sareng aplikasi.
  • Ditambahkeun dukungan pikeun kategori kaamanan NIST pikeun parameter obyék PKEY (konci umum sareng swasta). Kategori kaamanan disetel ngaliwatan setelan "kaamanan-kategori". EVP_PKEY_get_security_category () fungsi geus ditambahkeun pikeun pariksa tingkat kaamanan. Tingkat kaamanan ngagambarkeun résistansi kana serangan brute-force dina komputer kuantum sareng tiasa nyandak nilai integer tina 0 dugi ka 5:
    • 0 - palaksanaan teu tahan ka Hacking dina komputer kuantum;
    • 1/3/5 - palaksanaan henteu ngaluarkeun milarian dina komputer kuantum pikeun konci dina blok cipher kalayan konci 128/192/256-bit;
    • 2/4 - palaksanaan henteu ngaluarkeun kamungkinan milarian tabrakan dina Hash 256/384-bit dina komputer kuantum).
  • Paréntah "openssl configutl" geus ditambahkeun pikeun ngolah file konfigurasi. Utilitas ieu ngamungkinkeun anjeun pikeun ngahasilkeun file gabungan sareng sadaya setélan tina konfigurasi multi-file sareng kalebet.
  • Panyadia kriptografi FIPS parantos diropéa pikeun ngadukung generasi deterministik tanda tangan digital ECDSA (tanda tangan anu sami dibangkitkeun sareng data input anu sami), luyu sareng sarat standar FIPS 186-5.
  • syarat lingkungan ngawangun geus ngaronjat. Ngawangun OpenSSL henteu meryogikeun alat-alat kalayan dukungan ANSI-C; kompiler anu cocog sareng standar C-99 ayeuna diperyogikeun.
  • Fungsi nu patali jeung struktur EVP_PKEY_ASN1_METHOD geus deprecated.
  • Rojongan pikeun platform VxWorks parantos dileungitkeun.

Kerentanan tetep:

  • CVE-2025-9230 mangrupikeun kerentanan dina kode dekripsi pikeun pesen CMS anu énkripsi sandi (PWRI). Kerentanan bisa ngakibatkeun data kaluar-of-wates ditulis atawa dibaca, nu bisa ngakibatkeun kacilakaan atawa korupsi memori dina aplikasi nu ngagunakeun OpenSSL pikeun ngolah pesen CMS. Sanaos eksploitasi kerentanan ieu pikeun palaksanaan kode mungkin, parahna masalahna dikurangan ku kanyataan yén pesen CMS anu énkripsi sandi jarang dianggo dina praktékna. Salian OpenSSL 3.6.0, kerentanan dibenerkeun dina OpenSSL 3.5.4, 3.4.3, 3.3.5, 3.2.6, sareng 3.0.18. Masalahna ogé dibenerkeun dina LibreSSL 4.0.1 sareng 4.1.1, perpustakaan anu dikembangkeun ku proyék OpenBSD.
  • CVE-2025-9231 - Palaksanaan algoritma SM2 rentan ka serangan saluran sisi. Dina sistem sareng CPU ARM 64-bit, ieu ngamungkinkeun pamulihan konci pribadi ku nganalisa waktos itungan individu. Serangan berpotensi tiasa dilaksanakeun jarak jauh. Résiko serangan dikurangan ku kanyataan yén OpenSSL henteu langsung ngadukung panggunaan sertipikat sareng konci SM2 dina TLS.
  • CVE-2025-9232 mangrupikeun kerentanan dina palaksanaan klien HTTP anu diwangun anu ngamungkinkeun maca data di luar wates nalika ngolah URL anu didamel khusus dina fungsi Klien HTTP. Masalahna ngan ukur muncul nalika variabel lingkungan "no_proxy" disetel sareng tiasa nyababkeun kacilakaan aplikasi.

sumber: opennet.ru

Mésér hosting anu dipercaya pikeun situs anu gaduh panyalindungan DDoS, server VPS VDS 🔥 Meser hosting situs wéb anu tiasa dipercaya nganggo panyalindungan DDoS, server VPS VDS | ProHoster