OpenSSL 3.6.0 < 3.6.2 多个漏洞

critical Nessus 插件 ID 302501

语言：

简介

远程服务受到多个漏洞的影响。

描述

远程主机上安装的 OpenSSL 版本低于 3.6.2。因此，该软件受到 3.6.2 公告中提及的多个漏洞影响。

- 问题摘要：当 OpenSSL TLS 1.3 服务器的密钥交换群组配置通过使用“DEFAULT”关键字包含默认值时，该服务器可能无法协商出预期的首选密钥交换群组。影响摘要：即使客户端和服务器均支持某个更优选群组，但如果该群组未包含在客户端的初始预测密钥共享范围中，客户端可能会使用优先级较低的密钥交换群组。这种情况有时会发生在新的混合后量子群组中。如果客户端选择推迟到服务器发出特别请求后再使用这些群组，就会发生此情况。如果 OpenSSL TLS 1.3 服务器的配置使用“DEFAULT”关键字将内置的默认群组列表内插到其自有配置中，可能会添加或删除特定元素，则实现缺陷会导致“DEFAULT”列表丢失其“元组”结构，并且所有服务器支持的群组都会被视为单一且足够安全的“元组”，即使更优选元组中的某个群组同时得到服务器与客户端的支持，服务器也不会发送 Hello 重试请求 (HRR)。因此，如果客户端的配置导致客户端初始共享密钥预测范围中仅包含“classical”组（例如“X25519”），则客户端和服务器可能无法协商出一个双方都支持的后量子密钥协议群组，例如“X25519MLKEM768”。
OpenSSL 3.5 和更高版本均支持使用新语法，来在 TLS 服务器上选择最优选的 TLS 1.3 密钥协议群组。旧语法具有单一“扁平”群组列表，并将所有受支持的群组视为足够安全。如果客户端预测的任何密钥共享范围得到服务器的支持，服务器便会从中选择最优密钥共享范围，即使客户端支持但未包含在预测密钥共享列表中的其他群组更优选（如果包含）。新语法将各个群组分成具有大致相同安全级别的不同“元组”。在每个元组中，客户端预测的密钥共享范围中包含的最优群组已被选中，但如果客户端支持来自更优选元组中的群组，但未预测任何相应的密钥共享范围，则服务器将要求客户端使用最合双方意愿且受支持的群组来重试 ClientHello（通过发出 Hello 重试请求，简称 HRR）。当服务器的配置使用内置默认群组列表，或通过直接定义各种所需群组和群组“元组”来明确定义其自己的列表时，上述机制按预期方式工作。任何 OpenSSL FIPS 模块均不受此问题影响，有问题的代码位于 FIPS 边界之外。
OpenSSL 3.6 至 3.5 容易受此问题影响。OpenSSL 3.6 用户应在发布 OpenSSL 3.6.2 后升级到该版本。OpenSSL 3.5 用户应在发布 OpenSSL 3.5.6 后升级到该版本。OpenSSL 3.4、 3.3、 3.0、 1.0.2 和 1.1.1 不受此问题的影响。 (CVE-2026-2673)

- Debian Linux - openssl - None Red Hat Enterprise Linux - opensslopenssl通过无效的 RSA 公钥造成未初始化内存的信息泄露 (CVE-2026-31790)

- Debian Linux - openssl - NoneCVE-2026-28389、 CVE-2026-28390、 CVE-2026-31789

- 问题摘要：处理包含增量 CRL 指标扩展的增量 CRL 时，如果缺少所需的 CRL 编号扩展，可能会发生空指针取消引用。影响摘要空指针取消引用可触发崩溃导致应用程序拒绝服务。如果在 X.509 证书验证期间启用了 CRL 处理和增量 CRL 处理则增量 CRL 处理在取消引用 CRL 编号扩展之前不会检查该扩展是否为空。当处理畸形 delta CRL 文件时此参数可能为 NULL从而导致空指针取消引用。要利用此问题需要在验证上下文中启用 X509_V_FLAG_USE_DELTAS 标记、要对证书进行验证以包含 freshestCRL 扩展或设置了 EXFLAG_FRESHEST 标记的基本 CRL并且攻击者要向处理 CRL 的应用程序提供畸形的 CRL。该漏洞仅限于造成拒绝服务，并且无法升级以实现代码执行或内存泄露。因此，根据我们的安全策略，将此漏洞评为“低危”问题。 3.6、 3.5、 3.4、 3.3 和 3.0 中的 FIPS 模块不受此问题的影响因为受影响的代码在 OpenSSL FIPS 模块边界之外。已在 OpenSSL 3.6.2 中修复（影响自 3.6.0 以来的版本）。
(CVE-2026-28388)

- 问题摘要：执行基于 DANE TLSA 的服务器身份验证的客户端的不常见配置与不常见的服务器 DANE TLSA 记录配对时，可能会在客户端导致释放后使用和/或双重释放。影响摘要释放后使用可造成一系列潜在后果例如有效数据损坏、崩溃或执行任意代码。然而问题仅影响同时使用 PKIX-TA(0/PKIX-EE(1) 证书使用和 DANE-TA(2) 证书使用的 TLSA 记录的客户端。目前为止最常见的 DANE 部署是在 SMTP MTA 中 RFC7672 建议客户端将任何含有 PKIX 证书使用情况的 TLSA 记录视为“无法使用”。这些 SMTP 或其他类似客户端不会受到此问题影响。相反，仅支持 PKIX 用法和忽略 DANE-TA(2) 用法的客户端也不易受攻击。客户端还需要与发布包含两种 TLSA 记录类型的 TLSA RRset 的服务器进行通信。没有 FIPS 模块受此问题影响问题代码在 FIPS 模块边界之外。已在 OpenSSL 3.6.2 中修复（影响 3.6.0 之前的版本）。(CVE-2026-28387)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。