OpenSSL kembali menjadi sorotan setelah merilis pembaruan keamanan penting pada 27 Januari 2026. Dalam update kali ini, OpenSSL menambal 12 kerentanan keamanan, termasuk satu celah berisiko tinggi yang berpotensi memungkinkan remote code execution (RCE) atau eksekusi kode jarak jauh oleh penyerang.
Baca Juga : 10+ Plugin Mempercepat WordPress Terbaik, Tanpa Ribet Setting
Meski sebagian besar celah yang ditemukan “hanya” menyebabkan denial-of-service (DoS) atau membuat layanan crash, temuan ini tetap menjadi pengingat bahwa pemrosesan data tidak tepercaya (untrusted data) masih menyimpan risiko besar, terutama untuk aplikasi yang bergantung pada OpenSSL.
CVE-2025-15467
Dari seluruh daftar kerentanan yang diperbaiki, CVE-2025-15467 menjadi yang paling berbahaya dan dikategorikan High Severity oleh tim OpenSSL.
Celah ini menyerang proses parsing CMS AuthEnvelopedData saat menggunakan AEAD cipher seperti AES-GCM. Penyerang dapat menyusun parameter ASN.1 dengan Initialization Vector (IV) berukuran tidak wajar (oversized). Akibatnya, terjadi stack overflow bahkan sebelum proses autentikasi dijalankan.
Dampaknya tidak main-main. Aplikasi yang memproses CMS atau PKCS#7 dari sumber eksternal, termasuk sistem email dengan S/MIME, bisa mengalami crash atau bahkan membuka peluang eksekusi kode jarak jauh.
Yang membuat celah ini semakin berbahaya, tidak dibutuhkan kunci kriptografi apa pun untuk memicu overflow tersebut. Selama aplikasi mem-parsing konten CMS dari luar, risiko sudah terbuka. Tingkat eksploitasi memang bergantung pada mekanisme pertahanan sistem seperti ASLR, tetapi kemampuan menulis ke stack tetap menjadi ancaman serius.
CVE-2025-11187 dan Masalah PKCS#12
Selain celah berisiko tinggi, OpenSSL juga memperbaiki kerentanan CVE-2025-11187 dengan tingkat Moderate Severity. Masalah ini berkaitan dengan validasi PBMAC1 yang tidak tepat pada file PKCS#12.
Kerentanan ini ditemukan pada OpenSSL versi 3.6, 3.5, dan 3.4. File PKCS#12 berbahaya dapat memicu stack overflow atau null pointer dereference saat proses derivasi kunci, khususnya jika panjang kunci melebihi 64 byte.
Dalam kondisi tertentu, eksploit ini dapat menyebabkan aplikasi berhenti mendadak atau crash, yang tentu berbahaya jika terjadi di lingkungan produksi.
Daftar Kerentanan OpenSSL yang Diperbaiki
Berikut ringkasan beberapa CVE penting yang ditambal dalam pembaruan ini:
| CVE ID | Severity | Dampak Singkat | Versi Terdampak | Versi Aman |
|---|---|---|---|---|
| CVE-2025-15467 | High | Stack overflow pada parsing CMS | 3.6–3.0 | 3.6.1, 3.5.5, 3.4.4, 3.3.6, 3.0.19 |
| CVE-2025-11187 | Moderate | Overflow di PKCS#12 MAC | 3.6, 3.5, 3.4 | 3.6.1, 3.5.5, 3.4.4 |
| CVE-2025-69419 | Low | OOB write PKCS#12 | 3.6–3.0 | 3.6.1–3.0.19 |
| CVE-2026-22795 | Low | Type confusion PKCS#12 | 3.6–3.0 | 3.6.1–3.0.19 |
Selain itu, ada juga beberapa kerentanan berdampak rendah yang memengaruhi PKCS#7, timestamp verification, TLS 1.3 certificate compression, hingga BIO linebuffer. Mayoritas membutuhkan input khusus yang dirancang dengan sengaja, sehingga eksploit jarak jauh hanya mungkin pada konfigurasi tertentu.
Versi OpenSSL yang Terdampak
Kerentanan ini memengaruhi berbagai versi OpenSSL, mulai dari OpenSSL 3.6 hingga 1.0.2. Cabang lama tertentu tidak terdampak karena tidak memiliki fitur seperti PBMAC1 atau QUIC.
Kabar baiknya, modul FIPS dinyatakan aman, karena kode yang rentan berada di luar batas modul FIPS.
| Versi | Status | Versi Aman |
|---|---|---|
| 3.6 | Rentan | 3.6.1 |
| 3.5 | Rentan | 3.5.5 |
| 3.4 | Rentan | 3.4.4 |
| 3.3 | Sebagian | 3.3.6 |
| 3.0 | Rentan | 3.0.19 |
| 1.1.1 | Rentan (premium) | 1.1.1ze |
| 1.0.2 | Rentan (premium) | 1.0.2zn |
Peneliti Keamanan di Balik Temuan Ini
Sebagian besar celah keamanan ini ditemukan oleh Aisle Research, dengan Stanislav Fort sebagai kontributor utama. Peneliti lain yang turut berkontribusi antara lain Luigino Camastra, Petr Šimeček, Tomas Dulka, dan Hamza (Metadust).
Sementara itu, perbaikan kode dilakukan oleh tim OpenSSL, termasuk Tomas Mraz dan Igor Ustinov.
Langkah Mitigasi yang Disarankan
Untuk meminimalkan risiko, OpenSSL merekomendasikan beberapa langkah berikut:
-
Segera lakukan upgrade ke versi terbaru seperti 3.6.1, 3.5.5, atau versi aman lainnya.
-
Hindari memproses file PKCS#12 atau CMS dari sumber tidak tepercaya tanpa validasi tambahan.
-
Batasi ukuran file dan parameter ASN.1 untuk mencegah overflow.
-
Untuk TLS 1.3, nonaktifkan kompresi sertifikat dengan opsi
SSL_OP_NO_RX_CERTIFICATE_COMPRESSION. -
Server yang memproses S/MIME atau timestamp sebaiknya menjadi prioritas utama dalam pembaruan.
Baca Juga : Serangan Baru CoPhish Eksploitasi Copilot Studio untuk Curi Token OAuth!
Kesimpulan
Sebagai fondasi keamanan untuk web server, VPN, hingga tools kriptografi, OpenSSL memegang peran krusial di ekosistem digital global. Kerentanan terbaru ini menunjukkan bahwa satu celah kecil saja bisa berdampak besar jika tidak segera ditangani.
Melakukan update tepat waktu bukan hanya soal kepatuhan, tapi juga langkah penting untuk mencegah gangguan layanan, serangan DoS, atau bahkan skenario terburuk: eksekusi kode jarak jauh di sistem produksi. Pastikan seluruh dependensi OpenSSL Anda sudah diperbarui melalui package manager masing-masing.
