关键信息摘要 1. OpenSSL 安全公告 日期: 2026年1月27日 公告类型: 安全公告 主要内容: 描述多个OpenSSL漏洞及相应的CVE编号、严重性等级、影响总结、漏洞描述、影响版本、补丁建议等。 2. 主要漏洞概述 1. 错误验证PBMAC1参数 (CVE-2025-11187) - 严重性: 中等 - 影响版本: OpenSSL 3.6, 3.5, 3.4 - 影响总结: 可能导致堆栈溢出或空指针引用,造成服务拒绝。 2. CMS AuthEnvelopedData解析中的缓冲区溢出 (CVE-2025-15467) - 严重性: 高 - 影响版本: OpenSSL 3.6, 3.5, 3.4, 3.3, 3.0 - 影响总结: 可能导致服务拒绝或远程代码执行。 3. SSL_CIPHER_find()中对未知编号的空指针引用 (CVE-2025-15468) - 严重性: 低 - 影响版本: OpenSSL 3.6, 3.5, 3.4, 3.3 - 影响总结: 可能导致应用程序异常终止,造成服务拒绝。 3. 建议的升级信息 OpenSSL 3.6: 升级至3.6.1。 OpenSSL 3.5: 升级至3.5.5。 OpenSSL 3.4: 升级至3.4.4。 OpenSSL 3.3: 升级至3.3.6。 OpenSSL 3.0: 升级至3.0.19。 OpenSSL 1.1.1: 升级至1.1.1ze。 OpenSSL 1.0.2: 升级至1.0.2zn。 4. 漏洞发现及修复 多个漏洞由Stanislav Fort, Tomáš Mráz等研究人员发现并报告,修复工作由OpenSSL社区成员完成。 强调FIPS模块不受部分漏洞影响,因为相关实现位于OpenSSL FIPS模块边界之外。