OpenSSL 3.6.2 foi lançado hoje como a segunda atualização de manutenção/segurança da série 3.6, a biblioteca TLS/SSL e de criptografia mais utilizada para garantir comunicações seguras em redes computacionais.
A nova versão corrige várias falhas de segurança críticas, incluindo:
- Falha de tratamento de erro em encapsulação RSA KEM RSASVE
(CVE-2026-31790) - Leitura fora dos limites no modo AES‑CFB‑128 em CPUs x86‑64 com suporte AVX‑512
(CVE-2026-28386) - Use‑after‑free potencial no código cliente DANE
(CVE-2026-28387) - Desreferência de ponteiro nulo ao processar delta CRL
(CVE-2026-28388) - Desreferência de ponteiro nulo potencial ao processar CMS KeyAgreeRecipientInfo
(CVE-2026-28389) - Desbordamento de buffer em conversão hexadecimal
(CVE-2026-31789) - Desreferência de ponteiro nulo potencial ao processar CMS KeyTransportRecipientInfo
(CVE-2026-28390) - Falha de segurança que causava perda de estrutura de grupo de chave de acordo quando a palavra‑chave DEFAULT era usada na configuração do lado servidor de lista de grupos de acordo
(CVE-2026-2673)
Além disso, o projeto OpenSSL divulgou as versões 3.5.6, 3.4.5, 3.3.7 e 3.0.20 como releases de segurança/bugfix para as séries 3.5, 3.4, 3.3 e 3.0, respectivamente, para usuários que ainda utilizam esses ramos.
Para obter detalhes completos sobre as alterações incluídas nessas atualizações, consulte a página do projeto no GitHub e atualize seus sistemas o quanto antes, ou aguarde a chegada às reposições de software estáveis de sua distribuição GNU/Linux favorita.