Projekt OpenSSL vydal bezpečnostní aktualizace, které řeší tři zranitelnosti, označené jako CVE-2025–9230, CVE-2025–9231 a CVE-2025–9232, ve své open-source sadě nástrojů SSL/TLS. Aktualizace OpenSSL opravila tři chyby umožňující získání klíčů, spuštění kódu a útoky typu DoS. Vývojáři doporučují uživatelům co nejdříve aktualizovat na některou z podporovaných verzí: 3.5.4, 3.4.3, 3.3.5, 3.2.6, 3.0.18, 1.0.2zm a 1.1.1zd.
CVE-2025–9230 je chyba OpenSSL v dešifrování CMS s šifrováním založeným na hesle (PWRI). Úmožňuje čtení/zápis mimo paměťový rozsah, což způsobuje selhání (DoS) nebo poškození paměti, které může umožnit spuštění kódu. Riziko je omezené, protože použití PWRI je vzácné a OpenSSL hodnotí tuto chybu jako středně závažnou. Moduly FIPS nejsou ovlivněny.
Druhá chyba, označená jako CVE-2025–9231, je problém střední závažnosti, který ovlivňuje výpočty podpisů SM2 na 64bitových platformách ARM. Vytváří časový postranní kanál, který by mohl útočníkům umožnit získat soukromé klíče pomocí přesných měření času. Ačkoli OpenSSL nativně nepodporuje klíče SM2 v TLS, uživatelé mohou jejich použití povolit, což činí tuto chybu relevantní.
Třetí zranitelnost CVE-2025–9232 je označená nízkou závažností a může způsobit selhání a vyvolat odepření služby (DoS). Aplikace využívající funkce API klienta OpenSSL HTTP může vyvolat čtení mimo rozsah, pokud je nastavena proměnná prostředí no_proxy a součástí URL je adresa IPv6. Čtení mimo rozsah může vyvolat selhání, které vede k odmítnutí služby pro aplikaci.
