OpenSSL opravuje 12 zraniteľností

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

Bezpečnostní služby poskytované organizací CESNET jsou navrženy jako významná podpora při zajišťování kybernetické bezpečnosti připojených organizací. Přestože usilujeme o poskytování kvalitních a spolehlivých služeb, není možné garantovat absolutní pokrytí všech bezpečnostních zranitelností. Naše služby by měly být vnímány jako doplněk k vlastnímu bezpečnostnímu řízení organizací, nikoli jako jeho náhrada. Klient nese konečnou odpovědnost za zabezpečení svého prostředí.

[TLP:CLEAR] OpenSSL opravuje 12 zraniteľností

OpenSSL verziami 3.6.1, 3.5.5, 3.4.4, 3.3.6, 3.0.19, 1.1.1ze a 1.0.2zn opravuje 12 zraniteľností [1]. Najzávažnejšie z nich sú popísané nižšie, úplný zoznam nájdete na [1]. FIPS moduly OpenSSL nie sú týmito zraniteľnosťami dotknuté.

OpenSSL - DoS, remote code execution (CVE-2025-15467)

CVSS 9.8 (Critical)

Neautentizovanému vzdialenému útočníkovi je v dôsledku zápis za hranicou alokovanej pamäte zásobníka pri spracovaní šifrovaných CMS správ s AEAD šiframi umožnené spôsobiť DoS útok alebo potenciálne vykonať vzdialené spustenie kódu [1].

Zraniteľnosť sa nachádza v produkte OpenSSL vo verziách (>=3.6 AND <3.6.1) OR (>=3.5 AND <3.5.5) OR (>=3.4 AND <3.4.4) OR (>=3.3 AND <3.3.6) OR (>=3.0 AND <3.0.19).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Viac informácií:

CVE-2025-15467 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-787: Out-of-bounds Write at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 27. 1. 2026.

OpenSSL - DoS, code execution (CVE-2025-11187)

CVSS 6.1 (Medium)

Autentizovanému lokálnemu útočníkovi je pri spracovaní špeciálne upravených PKCS#12 súborov v dôsledku nedostatočnej kontroly vstupných parametrov umožnené spôsobiť DoS útok alebo potenciálne spustenie kódu [1].

Zraniteľnosť sa nachádza v produkte OpenSSL vo verziách (>=3.4.0 AND <3.4.4) OR (>=3.5.0 AND <3.5.5) OR (>=3.6.0 AND <3.6.1).

CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:H

Viac informácií:

CVE-2025-11187 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-476: NULL Pointer Dereference at cwe.mitre.org
CWE-787: Out-of-bounds Write at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 27. 1. 2026.

OpenSSL - DoS (CVE-2025-66199)

CVSS 5.9 (Medium)

Neautentizovanému vzdialenému útočníkovi je v dôsledku nedostatočnej kontroly veľkosti komprimovaných TLS 1.3 certifikátov umožnené vyvolať nadmernú alokáciu pamäte, čo môže viesť k DoS útoku. Dočasným opatrením je zakázanie prijímania komprimovaných certifikátov nastavením voľby SSL_OP_NO_RX_CERTIFICATE_COMPRESSION [1].

Zraniteľnosť sa nachádza v produkte OpenSSL vo verziách (>=3.3.0 AND <3.3.6) OR (>=3.4.0 AND <3.4.4) OR (>=3.5.0 AND <3.5.5) OR (>=3.6.0 AND <3.6.1).

CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H

Viac informácií:

CVE-2025-66199 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-789: Memory Allocation with Excessive Size Value at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 27. 1. 2026.

Odkazy

[1] https://openssl-library.org/news/secadv/20260127.txt

Za CESNET-CERTS Henrieta Paločková dňa 2. 2. 2026.

Zpětná vazba k reportu

[TLP:CLEAR] OpenSSL opravuje 12 zraniteľností

OpenSSL - DoS, remote code execution (CVE-2025-15467)

CVSS 9.8 (Critical)

OpenSSL - DoS, code execution (CVE-2025-11187)

CVSS 6.1 (Medium)

OpenSSL - DoS (CVE-2025-66199)

CVSS 5.9 (Medium)

Odkazy