OpenSSL 3.6.1 ya se encuentra disponible como la primera actualización de mantenimiento y seguridad de la rama OpenSSL 3.6, una de las bibliotecas criptográficas más utilizadas del mundo para comunicaciones seguras mediante TLS/SSL. Esta versión no solo corrige múltiples vulnerabilidades críticas (CVE), sino que también soluciona regresiones introducidas en OpenSSL 3.6 que podían afectar la estabilidad de conexiones TLS en entornos productivos.
Dado el uso transversal de OpenSSL en servidores web, balanceadores, contenedores, herramientas DevOps y sistemas operativos Linux, la actualización es altamente recomendable, especialmente en infraestructuras expuestas a Internet.
Vulnerabilidades corregidas en OpenSSL 3.6.1
OpenSSL 3.6.1 corrige una serie importante de fallos de seguridad, muchos de ellos relacionados con validación insuficiente, accesos fuera de límites de memoria y errores de manejo en estructuras ASN.1 y PKCS#12.
CVEs más relevantes incluidos en esta versión
|
CVE |
Descripción |
Impacto |
|---|---|---|
|
CVE-2025-11187 |
Validación incorrecta de parámetros PBMAC1 en verificación PKCS#12 |
Bypass de validaciones criptográficas |
|
CVE-2025-15467 |
NULL dereference en SSL_CIPHER_find() con IDs desconocidos |
Crash / DoS |
|
CVE-2025-15469 |
Truncamiento silencioso de datos >16 MB en openssl dgst |
Integridad comprometida |
|
CVE-2025-66199 |
Asignación excesiva de memoria en TLS 1.3 CompressedCertificate |
DoS por consumo de memoria |
|
CVE-2025-68160 |
Escritura fuera de límites en BIO_f_linebuffer |
Corrupción de memoria |
|
CVE-2025-69418 |
Bytes sin cifrar/autenticación en funciones OCB de bajo nivel |
Fuga de datos |
|
CVE-2025-69419 |
Out-of-bounds write en PKCS12_get_friendlyname() |
Riesgo de ejecución inesperada |
Vulnerabilidades adicionales corregidas
Además, esta versión incluye correcciones para:
-
CVE-2025-69420: Validación ASN1_TYPE faltante en TS_RESP_verify_response()
-
CVE-2025-69421: NULL pointer dereference en PKCS12_item_decrypt_d2i_ex()
-
CVE-2026-22795: Validación ASN1_TYPE incompleta en parsing PKCS#12
-
CVE-2026-22796: Type confusion ASN1_TYPE en PKCS7_digest_from_attributes()
📌 Conclusión técnica: la mayoría de estas vulnerabilidades afectan directamente a procesamiento criptográfico, parsing de estructuras ASN.1 y manejo de certificados, componentes críticos en entornos empresariales y de seguridad.
Correcciones funcionales y regresiones solucionadas
OpenSSL 3.6.1 no solo se centra en seguridad, también corrige problemas introducidos en la versión 3.6.0:
-
🔁 Restaurado el comportamiento original de X509_V_FLAG_CRL_CHECK_ALL, que había cambiado de forma incompatible.
-
🔐 Corrección en el manejo de OCSP Stapling, que provocaba fallos de handshake TLS entre servidores OpenSSL 3.6 y distintos clientes.
Estas correcciones son especialmente relevantes en:
-
Servidores web (NGINX, Apache, HAProxy)
-
Infraestructura PKI
-
Gateways TLS y proxies inversos
Otras versiones de OpenSSL actualizadas
El proyecto OpenSSL también publicó actualizaciones de seguridad para ramas anteriores, pensadas para entornos que aún no migraron a OpenSSL 3.6:
-
OpenSSL 3.5.5
-
OpenSSL 3.4.4
-
OpenSSL 3.3.6
-
OpenSSL 3.0.19
👉 Si tu distribución aún usa una de estas ramas (común en entornos LTS), es imprescindible aplicar las actualizaciones del proveedor.
Novedades destacadas de OpenSSL 3.6
Aunque OpenSSL 3.6.1 es una versión de mantenimiento, la rama 3.6 introduce funcionalidades importantes:
-
Categorías de seguridad NIST para objetos PKEY
-
Soporte para EVP_SKEY (claves simétricas opacas)
-
ECDSA determinístico según FIPS 186-5
-
Verificación de firmas LMS
-
Nueva utilidad openssl configutl para procesar configuraciones
Estas mejoras apuntan a mayor cumplimiento normativo, seguridad avanzada y flexibilidad criptográfica.
Recomendaciones para sysadmins y equipos DevOps
✅ Acción inmediata recomendada:
-
Actualizar OpenSSL a 3.6.1 o a la última versión disponible de la rama usada por tu distribución.
-
Reiniciar servicios que enlacen dinámicamente contra OpenSSL (NGINX, Apache, Docker, etc.).
-
Verificar handshakes TLS y OCSP tras la actualización.
📦 En sistemas Linux:
-
Prioriza paquetes oficiales del vendor (Debian, Ubuntu, RHEL, Alma, Rocky).
-
Evita builds manuales salvo que sea estrictamente necesario.
Conclusión
OpenSSL 3.6.1 es una actualización crítica que corrige múltiples vulnerabilidades de alto impacto y mejora la estabilidad general del stack TLS. Dado que OpenSSL es un componente fundamental en prácticamente cualquier infraestructura moderna, posponer esta actualización incrementa el riesgo de exposición, caídas de servicio o compromisos de seguridad.
