OpenSSL 3.6.2 修正了多個元件中的八個 CVE 漏洞。該項目將此版本中最嚴重的漏洞評級為“中等”。

修復了哪些問題？

此版本修正了 RSA KEM RSASVE 封裝中不正確的故障處理 (CVE-2026-31790) 以及在伺服器端配置金鑰協商群組清單時使用 DEFAULT 關鍵字導致的金鑰協商群組元組結構遺失 (CVE-2026-2673)。

此外，還解決了支援 AVX-512 的 x86-64 CPU 上的 AES-CFB-128 的越界讀取漏洞 (CVE-2026-28386)、DANE 用戶端程式碼中潛在的釋放後使用漏洞 (CVE-2026-28387) 以及處理程式碼中潛在的釋放後使用漏洞 (CVE-2026-28387) 以及處理增量 CRL 時空指標

修正了另外兩個影響 CMS 收件者資訊處理的空值解參考漏洞：一個位於 CMS KeyAgreeRecipientInfo 處理中 (CVE-2026-28389)，另一個位於 CMS KeyTransportRecipientInfo 處理中 (CVE-2026-28390)。此外，也修正了十六進位轉換中的堆疊緩衝區溢位漏洞 (CVE-2026-31789)。

回歸修復

除了 CVE 漏洞之外，此版本還修正了 OpenSSL 3.6.0 中引入的兩個行為回歸問題。其中一個問題恢復了 X509_V_FLAG_CRL_CHECK_ALL 標誌在 3.6.0 版本之前的行為。另一個問題修復了處理 OCSP 回應時出現的迴歸問題，該問題會導致 OpenSSL 3.6.0 伺服器與各種客戶端實作之間的握手失敗。

範圍和受影響版本

OpenSSL 3.6 和 3.5 存在上述部分漏洞。 OpenSSL 3.4、3.3、3.0、1.0.2 和 1.1.1 不受此版本中修復的部分 CVE 的影響。對於在啟用了 AVX-512 指令集的 x86-64 系統上執行 3.6.x 版本的管理員，鑑於 AES-CFB-128 路徑存在記憶體讀取漏洞，應優先修復漏洞。

3.6 系列提供標準支持，但其更新窗口比提供長期支持的 3.5 分支要短。版本選擇較為靈活的組織在製定升級計畫時，可能需要權衡這一差異。

資料來源：https://www.helpnetsecurity.com/2026/04/08/openssl-3-6-2-security-patch/