OpenSSL 发布了 3.6.1 版本,这是一个以安全为中心的补丁更新,解决了多个漏洞,其中包括几个被评为高危漏洞,并包含了自上次3.6.x 更新以来积累的修复程序。
其中最值得注意的是,修复了 PKCS#12 MAC 验证期间对 PBMAC1 参数的不当验证,该漏洞被追踪为CVE-2025-11187。
此外,还修复了几个与内存相关的漏洞,包括 CMS AuthEnvelopedData 解析中的堆栈缓冲区溢出、BIO 和 PKCS#12 代码路径中的多个堆和越界写入问题,以及密码查找和解密函数中的空指针解引用。
OpenSSL 3.6.1 还解决了影响现代 TLS 部署的问题。它修复了处理 TLS 1.3 CompressedCertificate 消息时导致内存分配过多的缺陷,以及底层 OCB 函数调用中涉及未经身份验证或未加密的尾随字节的问题。
其他修复措施解决了时间戳响应验证和 PKCS#12 解析中缺少 ASN.1 类型验证的问题,以及 PKCS7 摘要处理中 ASN.1 类型混淆的问题。
除了安全漏洞之外,该版本还修复了 OpenSSL 3.6.0 中引入的两个回归问题。一个问题恢复了 X509_V_FLAG_CRL_CHECK_ALL 标志的先前行为,另一个问题修复了 OpenSSL 3.6.0 服务器与某些客户端实现交互时,由于错误处理装订 OCSP 响应而导致的握手失败问题。
该项目建议依赖 OpenSSL 3.6.x 的用户和发行版及时更新,尤其是在 TLS 服务、证书验证或 PKCS#12 处理暴露的情况下。
