OpenSSL 3.6.1 正式发布：安全修复是重中之重

OpenSSL 项目近日发布了 OpenSSL 3.6.1，这是 3.6 系列的首个维护与安全更新。作为 Linux、服务器、浏览器以及大量应用背后的核心加密库，OpenSSL 的每一次更新都直接关系到网络通信的安全性。本次 3.6.1 的重点非常明确：修补安全漏洞，提升整体稳定性，同时修正上一版本中引入的一些回归问题。

🛡️ 关键安全问题集中修复

在安全层面，OpenSSL 3.6.1 一次性修复了多项风险较高的问题，覆盖加密、证书处理和底层 I/O 等多个关键模块，包括：

• PKCS#12 中 PBMAC1 参数校验不严格，可能影响 MAC 验证可靠性

• SSL_CIPHER_find() 在遇到未知算法 ID 时存在空指针解引用风险

• 使用 openssl dgst 一次性处理大于 16MB 数据时被静默截断

• TLS 1.3 CompressedCertificate 可能触发过度内存分配

• BIO_f_linebuffer 在短写入场景下存在堆越界写入隐患

• OCB 加密路径中可能产生未被正确认证或加密的尾随数据

这些问题大多只在特定条件下触发，但一旦被利用，可能直接影响加密通信的完整性，因此官方强烈建议相关用户尽快升级。

📄 ASN.1 与证书处理更加稳健

除了上述漏洞，本次更新还集中修复了多项与 ASN.1 解析相关的问题，包括 UTF-8 转换中的越界写入、缺失 ASN1_TYPE 校验、类型混淆以及空指针解引用等情况。同时，PKCS#12 和 PKCS#7 相关代码路径也得到了加固，进一步降低了在解析复杂证书或容器文件时出现安全隐患的可能性。

🔧 回归问题得到纠正

OpenSSL 3.6.1 还修复了两个在 3.6 中引入的行为变化问题。其中一个是恢复了 X509_V_FLAG_CRL_CHECK_ALL 在旧版本中的检查逻辑，避免证书吊销检查结果发生意外变化；另一个则是修复了 OCSP 装订响应的处理问题，该问题曾导致部分 OpenSSL 3.6 服务器与客户端握手失败。

📦 多个分支同步更新

与此同时，OpenSSL 团队还同步发布了 OpenSSL 3.5.5、3.4.4、3.3.6 以及 3.0.19，为仍在使用旧分支的用户提供安全和缺陷修复支持。不同生命周期阶段的系统，都可以选择合适的分支进行升级，避免长期暴露在已知漏洞之下。相关更新细节可以在 OpenSSL 项目的 GitHub 页面中查看。

✨ OpenSSL 3.6 的长期价值

作为当前最新的大版本，OpenSSL 3.6 本身也引入了不少重要改进，例如为 PKEY 对象加入 NIST 安全等级分类、支持不透明对称密钥对象、符合 FIPS 186-5 的确定性 ECDSA 签名，以及新增用于管理配置文件的 openssl configutl 工具。这些变化让 OpenSSL 在合规性、可维护性和未来扩展性方面更加成熟。

📌 总结

总体来看，OpenSSL 3.6.1 是一次以安全为核心、兼顾稳定性的关键更新。它不仅修复了多项潜在高风险漏洞，也纠正了部分回归行为，为 3.6 系列打下了更稳固的基础。对于已经部署 OpenSSL 3.6 的系统，尽快升级到 3.6.1 是非常有必要的；而仍在使用旧分支的用户，也应关注对应版本的同步安全更新，确保通信环境始终处于可信状态。

The post OpenSSL 3.6.1 正式发布：安全修复是重中之重 first appeared on Linux迷.