]> git.ipfire.org Git - thirdparty/openwrt.git/commit
openssl: update to 3.5.7 23852/head
authorHauke Mehrtens <hauke@hauke-m.de>
Wed, 17 Jun 2026 23:44:32 +0000 (01:44 +0200)
committerHauke Mehrtens <hauke@hauke-m.de>
Thu, 18 Jun 2026 10:21:05 +0000 (12:21 +0200)
commit0d5fa224879029fde0637e2aa3707059c1264394
treefc47a429c6321c8abc0b50a941c7f45c9b2df0cd
parentf7c1d91f1fc85e5aa2ded8c6452823b94a05bb13
openssl: update to 3.5.7

This release incorporates the following bug fixes and mitigations:

 * Fixed heap use-after-free in PKCS7_verify(). (CVE-2026-45447)
 * Fixed CMS AuthEnvelopedData processing may accept forged messages. (CVE-2026-34182)
 * Fixed unbounded memory growth in the QUIC PATH_CHALLENGE handler. (CVE-2026-34183)
 * Fixed NULL pointer dereference in QUIC server initial packet handling. (CVE-2026-42764)
 * Fixed AES-OCB IV ignored on EVP_Cipher() path. (CVE-2026-45445)
 * Fixed possible heap buffer overflow in ASN.1 multibyte string conversion. (CVE-2026-7383)
 * Fixed out-of-bounds read in CMS password-based decryption. (CVE-2026-9076)
 * Fixed heap buffer over-read in ASN.1 content parsing. (CVE-2026-34180)
 * Fixed PKCS#12 files with PBMAC1 are accepted with short HMAC keys. (CVE-2026-34181)
 * Fixed possible NULL dereference in password-dased CMS decryption. (CVE-2026-42766)
 * Fixed NULL pointer dereference in CRMF EncryptedValue decryption. (CVE-2026-42767)
 * Fixed multi-RecipientInfo Bleichenbacher Oracle in CMS_decrypt() and PKCS7_decrypt(). (CVE-2026-42768)
 * Fixed trust anchor substitution via cert/issuer typo in CMP rootCaKeyUpdate. (CVE-2026-42769)
 * Fixed FFC-DH peer validation uses attacker-supplied q. (CVE-2026-42770)
 * Fixed incorrect tag processing for empty messages in AES-GCM-SIV and AES-SIV modes. (CVE-2026-45446)

Link: https://github.com/openwrt/openwrt/pull/23852
Signed-off-by: Hauke Mehrtens <hauke@hauke-m.de>
package/libs/openssl/Makefile
package/libs/openssl/patches/100-Configure-afalg-support.patch
package/libs/openssl/patches/140-allow-prefer-chacha20.patch