守护互联网安全的 OpenSSL 3.6.1 正式发布！这次又升级更新了啥呢？

戳下方名片，关注并星标！

回复“1024”获取2TB学习资源！

👉体系化学习：运维工程师打怪升级进阶之路 4.0

—特色专栏—

MySQL/PostgreSQL/MongoDB

ElasticSearch/Hadoop/Redis

Kubernetes/Docker/DevOps

Kafka/RabbitMQ/Zookeeper

监控平台/应用与服务/集群管理

Nginx/Git/Tools/OpenStack

大家好，我是民工哥。

守护互联网安全的 OpenSSL 3.6.1 正式发布！

这次又升级更新了啥呢？

近日，OpenSSL 项目发布了 OpenSSL 3.6.1 版本，这也是 3.6 版本的首个维护更新版本。

OpenSSL 3.6.1 作为一次重要的安全补丁版本，它修复了多个高危漏洞，并带来了稳定性增强和功能改进。

该版本延续了 OpenSSL 在加密通信、证书管理等领域的技术优势，可无缝集成至各类依赖加密功能的系统中。

修复的漏洞

OpenSSL 3.6.1 修复了多个高危漏洞，其中最严重的漏洞包括：

CVE-2025-11187：PKCS#12 MAC 验证中 PBMAC1 参数验证不当。

CVE-2025-15467：CMS AuthEnvelopedData 解析中的栈缓冲区溢出。

CVE-2025-15468：SSL_CIPHER_find() 函数在未知密码 ID 上的空指针解引用。

CVE-2025-15469：OpenSSL dgst 单次代码路径静默截断大于 16 MiB 的输入。

CVE-2025-66199：TLS 1.3 CompressedCertificate 过度内存分配。

CVE-2025-68160：BIO_f_linebuffer 在短写入时的堆越界写入。

CVE-2025-69418：低级 OCB 函数调用中的未经身份验证/未加密的尾随字节。

CVE-2025-69419：PKCS12_get_friendlyname() UTF-8 转换中的越界写入。

CVE-2025-69420：TS_RESP_verify_response() 函数中缺少 ASN1_TYPE 验证。

CVE-2025-69421：PKCS12_item_decrypt_d2i_ex() 函数中的空指针解引用。

CVE-2026-22795：PKCS#12 解析中缺少 ASN1_TYPE 验证。

CVE-2026-22796：PKCS7_digest_from_attributes() 函数中的 ASN1_TYPE 类型混淆。

稳定性增强

回归问题修复

恢复X509_V_FLAG_CRL_CHECK_ALL标志的 3.6.0 之前行为，解决证书撤销列表检查异常。

修复处理钉扎的 OCSP 响应时的握手失败问题，确保与各类客户端的兼容性。

错误处理优化

修复BIO_f_linebuffer在短写入时的堆越界写入，防止内存损坏。

修复PKCS12_item_decrypt_d2i_ex()函数中的空指针解引用，避免服务崩溃。

功能改进

加密能力提升

为 PKEY 对象引入 NIST 安全等级分类，帮助开发者更直观地选择算法和密钥。

支持 EVP_SKEY 不透明对称密钥对象，新增三个函数接口（EVP_KDF_CTX_set_SKEY、EVP_KDF_derive_SKEY、EVP_PKEY_derive_SKEY），提升密钥管理与派生的灵活性。

合规性增强

默认和 FIPS 提供程序中均加入 LMS（Leighton-Micali 签名）验证，满足金融、医疗、政府等行业的合规需求。

实现基于 FIPS 186-5 标准的确定性 ECDSA 签名生成，确保加密过程更可靠。

工具使用体验优化

新增 openssl configutl 工具，能够读取并解析 OpenSSL 的配置文件，然后输出等效的配置结果，方便管理员审查和验证系统安全配置。

升级注意事项

不再兼容 ANSI-C 工具链，需使用符合 C-99 标准的编译器。

移除对 VxWorks 平台的官方支持，维护重点放在活跃使用的系统上。

部分与EVP_PKEY_ASN1_METHOD相关的函数被标记为弃用，开发者需逐步调整代码。

结语

OpenSSL 3.6.1 的正式发布，无疑为网络安全领域注入了一剂强心针。

此次更新不仅聚焦于高危漏洞的精准修复，从证书伪造风险到代码执行隐患，全方位筑牢安全防线；更在稳定性上深耕细作，解决回归问题、优化错误处理，确保系统运行如磐石般稳健。

功能层面的创新升级同样可圈可点，加密能力提升、合规性增强以及工具优化，为开发者与运维人员提供了更强大、更便捷的武器库。

对于广大用户而言，无论是高安全需求的企业环境，还是日常的开发运维场景，亦或是长期系统维护工作，升级至 OpenSSL 3.6.1 都是明智且必要的选择。

都看到这里了，觉得不错的话，随手点个赞👍、推荐、转发分享三连吧，如果想第一时间收到推送，也可以给我个星标⭐～

公众号读者专属技术群

构建高质量的技术交流社群，欢迎从事后端开发、运维技术进群（备注岗位，已在技术交流群的请勿重复添加微信好友，无备注一律者不通过）。主要以技术交流、内推、行业探讨为主，请文明发言。广告人士勿入，切勿轻信私聊，防止被骗。

扫码加我好友，拉你进群

从夯到拉锐评这 7 个全网爆火的 SSH 终端工具！

极速访问 Github（无需番墙）！亲测，嘎嘎好用！

Wine 11.1 正式发布！Linux 跑 Windows 应用更稳定、更流畅了

没有一行微软代码！一款用 30 年重建一个真正兼容 Windows 的开源操作系统

一款专为 Kubernetes 打造的开源、极简、不可变且高度安全的 Linux 操作系统！

一款轻量、快速、模块化、便携的 Linux 系统！

一款简洁、稳定、美观的轻量级 Linux 桌面操作系统！

一款简洁、稳定、自由的轻量级 Linux 桌面系统！

Deepin 25.0.10正式发布！开启更流畅、更智能、更好用的国产Linux桌面新体验

比 Motrix 更快、更强大、更好用的开源全平台下载神器！GitHub 狂揽 3500+ Star

刚开源！一款轻量、高效灵活、功能强大的可视化神器

一款号称要全面取代所有 Linux 发行版的操作系统！

GNOME 49.3 正式发布！性能优化、细节打磨，开启少卡顿、少崩溃、更稳定的桌面环境新时代

PS：因为公众号平台更改了推送规则，如果不想错过内容，记得读完点一下“在看”，加个“星标”，这样每次新文章推送才会第一时间出现在你的订阅列表里。点“在看”支持我们吧!