Az OpenSSL kiadta a 3.6.1-es verziót, amely egy kifejezetten biztonsági javításokra fókuszáló karbantartó frissítés. A kiadás több, High (magas) súlyosságú sérülékenységet orvosol, valamint tartalmazza az előző 3.6.x verzió óta felhalmozott hibajavításokat is. A projekt kifejezetten javasolja a mielőbbi frissítést minden olyan környezetben, ahol TLS, tanúsítvány-ellenőrzés vagy PKCS#12 feldolgozás érintett.

Érintett verziók:

• a 3.6.0 sorozat 3.6.1 előtti verziói;
• a 3.5.0 sorozat 3.5.5 előtti verziói;
• a 3.4.0 sorozat 3.4.4 előtti verziói.

Kiemelt biztonsági javítások

A legfontosabb javítások közé tartozik a PKCS#12 MAC ellenőrzésekor használt PBMAC1 paraméterek nem megfelelő validálásának korrigálása, amelyet CVE-2025-11187 azonosító alatt tartanak nyilván. Ez a hiba bizonyos esetekben a tanúsítványtárolók feldolgozását tehette megbízhatatlanná.

Több memóriakezeléssel kapcsolatos sérülékenységet is javítottak, többek között:

• verem puffer túlcsordulást a CMS AuthEnvelopedData feldolgozásakor,
• heap- és határon túli írási hibákat a BIO és PKCS#12 kódrészekben,
• NULL pointer dereferálásokat titkosító algoritmusok keresése és visszafejtés során.

Listázva:

• Fixed Stack buffer overflow in CMS AuthEnvelopedData parsing.
  (CVE-2025-15467)

• Fixed NULL dereference in SSL_CIPHER_find() function on unknown cipher ID.
  (CVE-2025-15468)

• Fixed openssl dgst one-shot codepath silently truncates inputs >16 MiB.
  (CVE-2025-15469)

• Fixed TLS 1.3 CompressedCertificate excessive memory allocation.
  (CVE-2025-66199)

• Fixed Heap out-of-bounds write in BIO_f_linebuffer on short writes.
  (CVE-2025-68160)

• Fixed Unauthenticated/unencrypted trailing bytes with low-level OCB
  function calls.
  (CVE-2025-69418)

• Fixed Out of bounds write in PKCS12_get_friendlyname() UTF-8 conversion.
  (CVE-2025-69419)

• Fixed Missing ASN1_TYPE validation in TS_RESP_verify_response()
  function.
  (CVE-2025-69420)

• Fixed NULL Pointer Dereference in PKCS12_item_decrypt_d2i_ex() function.
  (CVE-2025-69421)

• Fixed Missing ASN1_TYPE validation in PKCS#12 parsing.
  (CVE-2026-22795)

• Fixed ASN1_TYPE Type Confusion in the PKCS7_digest_from_attributes()
  function.
  (CVE-2026-22796)

TLS és modern kriptográfiai használatot érintő hibák

Az OpenSSL 3.6.1 javít egy olyan problémát is, amely TLS 1.3 CompressedCertificate üzenetek feldolgozásakor indokolatlanul nagy memóriafoglalást okozhatott. Emellett megszűnt egy hiba, amely alacsony szintű OCB függvényhívásoknál hitelesítetlen vagy titkosítatlan lezáró bájtokat engedhetett át.

További javítások érintik:

• az ASN.1 típusellenőrzés hiányát időbélyeg-válaszok (timestamp response) ellenőrzésekor és PKCS#12 feldolgozáskor,
• egy ASN.1 típuskeveredési (type confusion) problémát a PKCS7 digest feldolgozásában.

Regressziók javítása a 3.6.0-ból

A kiadás két, a 3.6.0-ban bevezetett regressziót is korrigál:

• helyreállítja az X509_V_FLAG_CRL_CHECK_ALL jelző korábbi működését,
• megszünteti azokat a TLS kézfogási hibákat, amelyek akkor jelentkeztek, amikor OpenSSL 3.6.0-t futtató szerverek bizonyos kliensekkel stapled OCSP válaszokat használtak.

Frissítési javaslat

Az OpenSSL fejlesztői határozottan javasolják, hogy minden OpenSSL 3.6.x-et használó felhasználó és disztribúció mielőbb frissítsen a 3.6.1-es verzióra, különösen akkor, ha a rendszer nyilvánosan elérhető TLS szolgáltatásokat futtat, vagy tanúsítványokkal és PKCS#12 állományokkal dolgozik.

A részletes változáslista és a technikai háttér a hivatalos változásnaplójában érhető el.