描述:
OpenSSL 發布了 1.0.2zn、1.1.1ze、3.0.19、3.3.6、3.4.4、3.5.5 及 3.6.1 版本以應對不同 OpenSSL 版本的漏洞。有關安全性更新的詳情,請參考以下網址:
https://openssl-library.org/news/secadv/20260127.txt
受影響的系統:
- OpenSSL 1.0.2
- OpenSSL 1.1.1
- OpenSSL 3.0.0 3.0.19 之前的版本
- OpenSSL 3.3.0 3.3.6 之前的版本
- OpenSSL 3.4.0 3.4.4 之前的版本
- OpenSSL 3.5.0 3.5.5 之前的版本
- OpenSSL 3.6.0 3.6.1 之前的版本
OpenSSL 3.1.x 及 3.2.x 版本已結束,再不會獲提供安全更新。用戶應安排升級至最新受支援的版本,或轉用其他受支援的技術。
影響:
成功利用漏洞可以導致受影響的系統發生遠端執行程式碼、服務被拒絕、泄漏資訊或篡改。
建議:
受影響軟件的修補程式已可獲取。受影響系統的系統管理員應遵從軟件供應商的建議,立即採取行動以降低風險。
進一步資訊:
- https://openssl-library.org/news/secadv/20260127.txt
- https://www.hkcert.org/tc/security-bulletin/openssl-multiple-vulnerabilities_20260203
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-11187
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-15467 (to CVE-2025-15469)
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-66199
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-68160
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-69418 (to CVE-2025-69421)
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-22795 (to CVE-2026-22796)
