Вышло обновление OpenSSL 3.6.2, устраняющее восемь уязвимостей

В выпуске OpenSSL 3.6.2 устранены восемь уязвимостей CVE в различных компонентах. Разработчики оценили наиболее серьёзную проблему в этом обновлении как умеренную.

Что было исправлено

Обновление устраняет некорректную обработку ошибок при инкапсуляции RSA KEM RSASVE (CVE-2026-31790) и потерю структуры группы согласования ключей при использовании ключевого слова DEFAULT в серверной конфигурации списка таких групп (CVE-2026-2673).

Также исправлено чтение за пределами выделенной памяти в AES-CFB-128 на процессорах x86-64 с поддержкой AVX-512 (CVE-2026-28386), потенциальное использование памяти после её освобождения в клиентском коде DANE (CVE-2026-28387) и разыменование нулевого указателя при обработке дельта-списков отозванных сертификатов CRL (CVE-2026-28388).

Устранены две дополнительные ошибки разыменования нулевого указателя, затрагивающие обработку информации о получателе в CMS: одна при обработке CMS KeyAgreeRecipientInfo (CVE-2026-28389), а другая — при обработке CMS KeyTransportRecipientInfo (CVE-2026-28390). Завершает список исправлений безопасности переполнение буфера в куче при шестнадцатеричном преобразовании (CVE-2026-31789).

Исправление регрессий

Помимо уязвимостей CVE, в выпуске устранены две поведенческие регрессии, появившиеся в OpenSSL 3.6.0. Одно исправление восстанавливает поведение флага X509_V_FLAG_CRL_CHECK_ALL, которое было до версии 3.6.0. Другое исправляет регрессию в обработке прикреплённых OCSP-ответов, которая вызывала сбои рукопожатия для серверов на OpenSSL 3.6.0 при взаимодействии с различными клиентскими реализациями.

Область воздействия и затронутые версии

Несколько из этих проблем затрагивают OpenSSL версий 3.6 и 3.5. Версии 3.4, 3.3, 3.0, 1.0.2 и 1.1.1 не подвержены некоторым уязвимостям CVE, исправленным в данном выпуске. Администраторам, использующим версию 3.6.x на системах x86-64 с включённой поддержкой AVX-512, следует в первую очередь обратить внимание на исправление для AES-CFB-128 из-за уязвимости чтения памяти в этом компоненте.

Линейка версий 3.6 имеет стандартный срок поддержки, который короче, чем у долгосрочно поддерживаемой ветки 3.5. Организациям, имеющим гибкость в выборе версий, возможно, стоит учитывать это различие при планировании графика обновлений.