OpenSSL 修补了高严重性漏洞 CVE-2024-12797

OpenSSL 修补了漏洞 CVE-2024-12797，这是 Apple 发现的一个高严重性漏洞，可引发中间人攻击。

OpenSSL 项目解决了其安全通信库中的一个高严重性漏洞，编号为 CVE-2024-12797。 

OpenSSL软件库  允许在计算机网络上进行安全通信，以防止窃听或需要识别另一端的一方。OpenSSL 包含安全套接字层 (SSL) 和传输层安全 (TLS) 协议的开源实现。

由于 SSL_VERIFY_PEER 模式下的服务器身份验证检查失败，使用 RFC7250 原始公钥 (RPK) 的客户端建立的 TLS/DTLS 连接可能容易受到中间人 (MitM) 攻击。

苹果研究人员于 2024 年 12 月 18 日报告了该漏洞，并由 Viktor Dukhovni 修复。

该漏洞会影响明确启用 RPK 并依赖 SSL_VERIFY_PEER 检测身份验证失败的 TLS 客户端。项目维护人员指出，TLS 客户端和 TLS 服务器默认禁用 RPK。

“仅当 TLS 客户端明确允许服务器使用 RPK，并且服务器同样允许发送 RPK 而不是 X.509 证书链时，才会出现此问题。”咨询报告中写道。“受影响的客户端是那些依赖于握手失败的客户端，当服务器的 RPK 无法匹配预期的公钥之一时，通过将验证模式设置为 SSL_VERIFY_PEER 即可。”

无论如何，启用服务器端原始公钥的客户端仍然可以通过调用 SSL_get_verify_result() 检查原始公钥验证是否失败。此漏洞是在 OpenSSL 3.2 中最初实现 RPK 支持时引入的。

OpenSSL 3.4、3.3 和 3.2 受到 CVE-2024-12797 漏洞的影响，该漏洞已在 3.4.1、3.3.2 和 3.2.4 版本发布时得到解决。

2022 年 11 月，  OpenSSL 项目发布了安全更新，以解决其加密库中的几个高严重性漏洞（跟踪为 CVE-2022-3602 和 CVE-2022-3786）。这些漏洞影响该库的 3.0.0 至 3.0.6 版本。

这两个缺陷都是缓冲区溢出问题，可以通过提供特制的电子邮件地址在 X.509 证书验证中触发。 

“第一个漏洞 CVE-2022-3786 允许威胁行为者“在证书中制作恶意电子邮件地址，以溢出包含 `.` 字符的任意字节数”。第二个漏洞 CVE-2022-3602 与之类似，但在这种情况下，威胁行为者可以“制作恶意电子邮件以溢出堆栈上四个攻击者控制的字节”。这可能导致拒绝服务或远程代码执行。”   Censys 发布的一篇文章写道。

此缓冲区溢出可能导致拒绝服务情况或可能导致远程代码执行。

来源：https://securityaffairs.com/174111/security/openssl-patched-the-vulnerability-cve-2024-12797.html