OpenSSL修复了高危漏洞CVE-2024-12797

OpenSSL项目在其安全通信库中修复了一个高危漏洞，编号为CVE-2024-12797。

OpenSSL软件库允许在计算机网络中进行安全通信，防止窃听或需要识别另一端的情况。OpenSSL包含安全套接层（SSL）和传输层安全（TLS）协议的开源实现。使用RFC7250原始公钥（RPKs）的客户端在SSL_VERIFY_PEER模式下，由于服务器身份验证检查失败，可能容易受到中间人（MitM）攻击。苹果研究人员于2024年12月18日报告了该漏洞，并由Viktor Dukhovni修复。

该漏洞影响显式启用RPKs并依赖SSL_VERIFY_PEER来检测身份验证失败的TLS客户端。项目维护者指出，RPKs在TLS客户端和TLS服务器中默认是禁用的。

公告中写道：“该问题仅出现在TLS客户端显式启用服务器使用RPK，并且服务器同样启用发送RPK而不是X.509证书链时。受影响的客户端是那些依赖握手失败来检测服务器RPK是否与预期公钥匹配的客户端，通过将验证模式设置为SSL_VERIFY_PEER。”

无论如何，启用服务器端原始公钥的客户端仍然可以通过调用SSL_get_verify_result()来检查原始公钥验证的失败。该漏洞是在OpenSSL 3.2中首次实现RPK支持时引入的。

OpenSSL 3.4、3.3和3.2版本受到CVE-2024-12797漏洞的影响，该漏洞已在3.4.1、3.3.2和3.2.4版本中修复。

2022年11月，OpenSSL项目发布了安全更新，修复了其加密库中的两个高危漏洞，编号为CVE-2022-3602和CVE-2022-3786。这些漏洞影响了3.0.0至3.0.6版本的库。

这两个漏洞都是缓冲区溢出问题，可以通过提供特制的电子邮件地址在X.509证书验证中触发。

第一个漏洞CVE-2022-3786允许威胁行为者‘在证书中构造恶意电子邮件地址，以溢出包含`.`字符的任意字节。’第二个漏洞CVE-2022-3602类似，但在这种情况下，威胁行为者可以‘构造恶意电子邮件以溢出堆栈上的四个攻击者控制的字节。’这些漏洞可能导致拒绝服务或远程代码执行。

这种缓冲区溢出可能导致拒绝服务情况，或者可能引发远程代码执行。

原文始发于微信公众号（黑猫安全）：OpenSSL修复了高危漏洞CVE-2024-12797