Software-update - OpenSSL 3.6.1 / 3.5.5 / 3.4.4 / 3.3.6 / 3.0.19 / 1.1.1ze / 1.0.2zn

vrijdag, 30 januari 2026 (16:45) - Tweakers

In dit artikel:

Het OpenSSL-project heeft recent meerdere nieuwe releases uitgebracht (onder meer 3.6.1, 3.5.5, 3.4.4, 3.3.6, 3.0.19 en voor premium-supportklanten 1.1.1ze en 1.0.2zn) waarin tal van beveiligingslekken zijn dichtgeplakt. De updates bestrijken fouten in zowel moderne als oudere onderhoudsbranches en verhelpen uiteenlopende problemen die tot geheugenbeschadiging, null-pointer-dereferenties, verkeerde validatie en onveilige cryptografische verwerking kunnen leiden.

Belangrijke verholpen kwetsbaarheden (een selectie):
- CVE-2025-11187: onjuiste validatie van PBMAC1-parameters bij PKCS#12 MAC-verificatie.
- CVE-2025-15467: stack buffer overflow bij het parsen van CMS AuthEnvelopedData.
- CVE-2025-15468: NULL-dereference in SSL_CIPHER_find() bij onbekende cipher-ID.
- CVE-2025-15469: ‘openssl dgst’ kan invoer groter dan 16 MB stilletjes afkappen.
- CVE-2025-66199: onnodig grote geheugentoewijzing bij TLS 1.3 CompressedCertificate.
- CVE-2025-68160: heap out-of-bounds write in BIO_f_linebuffer.
- CVE-2025-69418 / CVE-2025-69419 / CVE-2025-69420 / CVE-2025-69421: meerdere problemen rond OCB-trailing-bytes, UTF‑8-conversies en ontbrekende ASN1_TYPE-validatie bij PKCS12/TS/PKCS7-gerelateerde routines.
- CVE-2026-22795 / CVE-2026-22796: aanvullende ASN.1-validatie- en type-confusieproblemen in PKCS#12/PKCS7-parsing.

De fixes komen terug in meerdere branches, zodat zowel gebruikers van de nieuwste 3.x-lijnen als organisaties met betaalde ondersteuning voor oudere 1.x-releases updates kunnen ontvangen. Omdat OpenSSL een kerncomponent is voor TLS/SSL-communicatie in veel servers en applicaties, kunnen deze fouten ernstige impact hebben op vertrouwelijkheid en integriteit van verbindingen.

Advies aan beheerders: controleer welke OpenSSL-versies in uw infrastructuur worden gebruikt en voer zo snel mogelijk de gepatchte releases door. Voor systemen die niet snel te vervangen zijn, kan premium support of mitigaties nodig zijn totdat een update mogelijk is.