O OpenSSL 3.6.1 foi lançado hoje como a primeira atualização de manutenção/segurança da mais recente série OpenSSL 3.6, uma biblioteca TLS/SSL e criptográfica amplamente utilizada para fornecer comunicações seguras por redes de computadores.
O OpenSSL 3.6.1 está aqui para tratar várias vulnerabilidades críticas de segurança, incluindo CVE-2025-11187, que causa validação inadequada dos parâmetros PBMAC1 na verificação MAC PKCS#12, CVE-2025-15467, uma desreferência NULL na função 'SSL_CIPHER_find()' no ID de cifra desconhecida, e CVE-2025-15469, causando o caminho de código 'openssl dgst' one-shot que truque silenciosamente entradas maiores que 16 MB.
Esta versão também aborda CVE-2025-66199, corrigindo a alocação excessiva de memória do TLS 1.3 'CompressedCertificate', CVE-2025-68160, uma gravação de 'BIO_f_linebuffer' em writes curtos, CVE-2025-69418, causando bytes de saída/não criptografados com chamadas de função OCB de baixo nível, e CVE-2025-69419, uma escrita out-of-bounds em conversão 'PKCS12_get_friendlyname()' UTF-8.
Além disso, o OpenSSL 3.6.1 atende:
- CVE-2025-69420, causando validação de 'ASN1_TYPE' ausente na função 'TS_RESP_verify_response()'.
- CVE-2025-69421, uma Dereferência de Ponteiro NULL na função PKCS12_item_decrypt_d2i_ex().
- CVE-2026-22795, causando validação de 'ASN1_TYPE' ausente na análise PKCS#12.
- CVE-2026-22796, uma Confusão de Tipo 'ASN1_TYPE' na função 'PKCS7_digest_from_attributes()'.
Além dessas correções de segurança, a versão OpenSSL 3.6.1 corrige uma regressão no tratamento da flag 'X509_V_FLAG_CRL_CHECK_ALL' ao restaurar seu comportamento pré-OpenSSL 3.6, assim como uma regressão no tratamento das respostas OCSP grampeadas, que causou falhas de handshake para servidores OpenSSL 3.6 com várias implementações de clientes.
Também hoje, o projeto OpenSSL lançou OpenSSL 3.5.5, OpenSSL 3.4.4, OpenSSL 3.3.6 e OpenSSL 3.0.19 como versões de ponto de segurança/correção de bugs para as séries OpenSSL 3.5, OpenSSL 3.4, OpenSSL 3.3 e OpenSSL 3.0 para quem ainda usa esses branches. Confira a página do GitHub do projeto para mais detalhes sobre as mudanças incluídas nessas atualizações.
O OpenSSL 3.6 é a versão mais recente desta biblioteca criptográfica, adicionando funcionalidades significativas como categorias de segurança NIST para objetos PKEY, suporte para objetos-chave simétricos opacos 'EVP_SKEY', suporte para geração determinística de assinaturas ECDSA FIPS 186-5, suporte para verificação de assinatura LMS e uma utilidade 'openssl configutl' para processamento do arquivo de configuração OpenSSL.