Loading... # OpenSSL 3.6.1 正式发布技术分析 # 一、新闻概述 ## 1. 标题 守护互联网安全的 OpenSSL 3.6.1 正式发布,修复多个高危漏洞 ## 2. 发布时间 2025 年 1 月(具体日期未在原文中注明) ## 3. 来源 民工哥技术之路微信公众号 # 二、核心内容 ## 1. 事件摘要 ### A. 主要内容 OpenSSL 项目正式发布 OpenSSL 3.6.1 版本,这是 3.6 版本的首个维护更新版本。该版本主要聚焦于安全漏洞修复、稳定性增强和功能改进。 ### B. 核心亮点 - 修复 12 个 CVE 安全漏洞,包括多个高危漏洞 - 解决回归问题,恢复 3.6.0 之前的部分行为 - 新增 LMS 签名验证和 FIPS 186-5 标准支持 - 引入 NIST 安全等级分类和新的密钥管理接口 ## 2. 关键信息 ### A. 版本号 OpenSSL 3.6.1 ### B. 重要数据 - 修复漏洞数量:12 个 CVE - 涉及组件:PKCS#12、CMS、TLS 1.3、BIO、OCSP 等 ### C. 涉及产品 OpenSSL 加密库、FIPS 提供程序 ## 3. 背景介绍 ### A. 前置版本 OpenSSL 3.6 系列是 OpenSSL 3.x 的最新分支,3.6.1 是该系列的首个维护版本。 ### B. 相关上下文 OpenSSL 是互联网最广泛使用的加密库之一,为 HTTPS、VPN、SSH 等协议提供底层加密支持。此次更新对于维护网络安全具有重要意义。 # 三、详细报道 ## 1. 主要内容 ### A. 漏洞修复 OpenSSL 3.6.1 修复了 12 个 CVE 安全漏洞,其中包括: - CVE-2025-11187:PKCS#12 MAC 验证中 PBMAC1 参数验证不当 - CVE-2025-15467:CMS AuthEnvelopedData 解析中的栈缓冲区溢出 - CVE-2025-15468:SSL_CIPHER_find() 函数空指针解引用 - CVE-2025-15469:OpenSSL dgst 静默截断大于 16 MiB 的输入 - CVE-2025-66199:TLS 1.3 CompressedCertificate 过度内存分配 - CVE-2025-68160:BIO_f_linebuffer 堆越界写入 - CVE-2025-69418:OCB 函数调用中未经身份验证的尾随字节 - CVE-2025-69419:PKCS12_get_friendlyname() UTF-8 转换越界写入 - CVE-2025-69420:TS_RESP_verify_response() 缺少 ASN1_TYPE 验证 - CVE-2025-69421:PKCS12_item_decrypt_d2i_ex() 空指针解引用 - CVE-2026-22795:PKCS#12 解析缺少 ASN1_TYPE 验证 - CVE-2026-22796:PKCS7_digest_from_attributes() ASN1_TYPE 类型混淆 ### B. 稳定性增强 **回归问题修复** - 恢复 X509_V_FLAG_CRL_CHECK_ALL 标志的 3.6.0 之前行为 - 修复钉扎 OCSP 响应处理时的握手失败问题 **错误处理优化** - 修复 BIO_f_linebuffer 在短写入时的堆越界写入 - 修复 PKCS12_item_decrypt_d2i_ex() 函数空指针解引用 ### C. 功能改进 **加密能力提升** - 为 PKEY 对象引入 NIST 安全等级分类 - 支持 EVP_SKEY 不透明对称密钥对象 - 新增三个密钥派生函数接口:EVP_KDF_CTX_set_SKEY、EVP_KDF_derive_SKEY、EVP_PKEY_derive_SKEY **合规性增强** - 默认和 FIPS 提供程序中加入 LMS(Leighton-Micali 签名)验证 - 实现基于 FIPS 186-5 标准的确定性 ECDSA 签名生成 **工具使用体验优化** - 新增 openssl configutl 工具,用于读取和解析 OpenSSL 配置文件 ## 2. 技术细节 ### A. 漏洞分类 ```mermaid graph TD A[OpenSSL 3.6.1 漏洞] --> B[缓冲区溢出类] A --> C[指针引用类] A --> D[验证缺失类] A --> E[内存管理类] B --> B1[CMS 栈溢出] B --> B2[BIO 堆越界写入] B --> B3[UTF-8 越界写入] C --> C1[SSL_CIPHER_find 空指针] C --> C2[PKCS12 空指针] D --> D1[PKCS#12 验证不当] D --> D2[ASN1_TYPE 验证缺失] D --> D3[类型混淆] E --> E1[TLS 1.3 过度分配] E --> E2[dgst 静默截断] ```  ### B. 架构变化 OpenSSL 3.6.1 在架构层面的变化主要体现在提供程序模块的增强: ```mermaid graph LR A[OpenSSL 核心] --> B[默认提供程序] A --> C[FIPS 提供程序] B --> D[传统算法] B --> E[LMS 签名验证] B --> F[NIST 安全等级] C --> G[FIPS 140-2 合规] C --> H[FIPS 186-5 ECDSA] C --> E E --> I[金融行业合规] E --> J[医疗行业合规] E --> K[政府行业合规] ```  ### C. 兼容性说明 - 不再兼容 ANSI-C 工具链,需使用 C-99 标准编译器 - 移除对 VxWorks 平台的官方支持 - 部分 EVP_PKEY_ASN1_METHOD 相关函数被标记为弃用 ## 3. 数据与事实 ### A. 漏洞严重程度 - 高危漏洞:至少 5 个(缓冲区溢出、空指针解引用等) - 中危漏洞:多个(验证缺失、内存管理问题) ### B. 影响范围 - 所有使用 OpenSSL 3.6.0 的系统 - 依赖 PKCS#12、CMS、TLS 1.3 等功能的应用 # 四、影响分析 ## 1. 行业影响 ### A. 技术趋势 - 安全漏洞修复仍是 OpenSSL 维护的重中之重 - 合规性需求(FIPS、行业特定标准)持续驱动功能演进 ### B. 竞争格局 - OpenSSL 仍是事实上的行业标准,替代品(如 LibreSSL、BoringSSL)市场份额有限 ## 2. 用户影响 ### A. 现有用户 - 升级成本:中等(需测试兼容性) - 收益:修复高危漏洞,提升系统安全性 ### B. 潜在用户 - 新增合规性功能可能吸引金融、医疗等行业用户 ### C. 迁移建议 - 建议尽快升级至 3.6.1 以修复已知漏洞 - 升级前需测试依赖 OpenSSL 的应用程序 - 注意编译器兼容性变化(C-99 要求) ## 3. 技术趋势 ### A. 技术方向 - 持续强化安全验证机制 - 增强行业合规性支持 - 优化开发者工具和使用体验 ### B. 生态影响 - LMS 签名验证的引入可能促进后量子密码学的采用 - NIST 安全等级分类有助于标准化加密算法选择 # 五、各方反应 ## 1. 官方回应 OpenSSL 项目组强调此次更新是重要的安全补丁版本,建议所有用户升级。 ## 2. 业内评价 ### A. 专家观点 - 漏洞修复及时,体现了 OpenSSL 项目组对安全的重视 - 新增的合规性功能对企业用户具有吸引力 ### B. 社区反馈 - 社区普遍认可此次更新的安全价值 - 部分开发者关注弃用 API 的迁移成本 # 六、相关链接 ## 1. 官方公告 - OpenSSL 3.6.1 发布公告(OpenSSL 官网) ## 2. 相关报道 - 民工哥技术之路微信公众号 ## 3. 技术文档 - OpenSSL 3.6.1 变更日志 - CVE 详细信息(MITRE、NVD) *** ## 参考资料 1. [守护互联网安全的 OpenSSL 3.6.1 正式发布!这次又升级更新了啥呢?](https://mp.weixin.qq.com/s/B9er6j-6VYe8InttjZXJ2Q) 最后修改:2026 年 01 月 29 日 © 允许规范转载 赞 如果觉得我的文章对你有用,请随意赞赏