Pular para o conteúdo
Atualização do OpenSSL 3.6.2 traz correções críticas de segurança

Atualização do OpenSSL 3.6.2 traz correções críticas de segurança

O lançamento da versão 3.6.2 do OpenSSL resolve falhas de segurança significativas, incluindo falhas de tratamento de erro e desreferências de ponteiro.

OpenSSL 3.6.2 foi lançado hoje como a segunda atualização de manutenção/segurança da série 3.6, a biblioteca TLS/SSL e de criptografia mais utilizada para garantir comunicações seguras em redes computacionais.

A nova versão corrige várias falhas de segurança críticas, incluindo:

  • Falha de tratamento de erro em encapsulação RSA KEM RSASVE
    (CVE-2026-31790)
  • Leitura fora dos limites no modo AES‑CFB‑128 em CPUs x86‑64 com suporte AVX‑512
    (CVE-2026-28386)
  • Use‑after‑free potencial no código cliente DANE
    (CVE-2026-28387)
  • Desreferência de ponteiro nulo ao processar delta CRL
    (CVE-2026-28388)
  • Desreferência de ponteiro nulo potencial ao processar CMS KeyAgreeRecipientInfo
    (CVE-2026-28389)
  • Desbordamento de buffer em conversão hexadecimal
    (CVE-2026-31789)
  • Desreferência de ponteiro nulo potencial ao processar CMS KeyTransportRecipientInfo
    (CVE-2026-28390)
  • Falha de segurança que causava perda de estrutura de grupo de chave de acordo quando a palavra‑chave DEFAULT era usada na configuração do lado servidor de lista de grupos de acordo
    (CVE-2026-2673)

Além disso, o projeto OpenSSL divulgou as versões 3.5.6, 3.4.5, 3.3.7 e 3.0.20 como releases de segurança/bugfix para as séries 3.5, 3.4, 3.3 e 3.0, respectivamente, para usuários que ainda utilizam esses ramos.

Para obter detalhes completos sobre as alterações incluídas nessas atualizações, consulte a página do projeto no GitHub e atualize seus sistemas o quanto antes, ou aguarde a chegada às reposições de software estáveis de sua distribuição GNU/Linux favorita.

Por · Última atualização: