OpenSSL 3.6.2は複数のコンポーネントにおける8つのCVEに対するパッチを提供します。プロジェクトはこのリリースで最も深刻な問題の重要度を中程度と評価しています。
修正内容
このリリースはRSA KEM RSASVEカプセル化における不正な失敗処理(CVE-2026-31790)と、サーバー側設定のkey-agreement group listでDEFAULTキーワードが使用された場合のkey agreement group tupleの損失(CVE-2026-2673)を修正します。
AVX-512対応のx86-64 CPUにおけるAES-CFB-128の境界外読み込み(CVE-2026-28386)も対処され、DANEクライアントコードにおける潜在的なuse-after-free(CVE-2026-28387)とdelta CRL処理時のNULLポインタ逆参照(CVE-2026-28388)にも対応しています。
CMS受取人情報処理に影響する2つの追加のNULL逆参照バグが解決されます:CMS KeyAgreeRecipientInfo処理での1つ(CVE-2026-28389)とCMS KeyTransportRecipientInfo処理での1つ(CVE-2026-28390)。16進数変換のヒープバッファオーバーフロー(CVE-2026-31789)がセキュリティ修正を完成させています。
回帰修正
CVEに加えて、このリリースはOpenSSL 3.6.0で導入された2つの動作回帰に対処します。1つはX509_V_FLAG_CRL_CHECK_ALLフラグの3.6.0前の動作を復元します。もう1つは、OpenSSL 3.6.0サーバーで様々なクライアント実装とのハンドシェイク失敗を引き起こしたstapled OCSP response処理の回帰を修正します。
範囲と影響を受けるバージョン
OpenSSL 3.6および3.5はこれらの問題の多くに脆弱です。OpenSSL 3.4、3.3、3.0、1.0.2、および1.1.1はこのリリースでパッチが当たった一部のCVEの影響を受けません。AVX-512を有効にしたx86-64システムで3.6.xを実行している管理者は、そのパスでのメモリ読み込み露出を考慮して、AES-CFB-128修正を優先すべきです。
3.6シリーズは標準サポートを提供しており、長期サポート3.5ブランチよりも短い更新期間を持ちます。バージョン選択に柔軟性がある組織は、アップグレード計画を立てる際にこの違いを検討したい場合があります。
翻訳元: https://www.helpnetsecurity.com/2026/04/08/openssl-3-6-2-security-patch/
