OpenSSL软件库曝高危漏洞，可实施中间人攻击

OpenSSL 修补了由苹果发现的高严重性漏洞 CVE-2024-12797，该漏洞可能导致中间人攻击。

OpenSSL 项目在其安全通信库中修复了一个高严重性漏洞，编号为 CVE-2024-12797。OpenSSL 软件库用于在计算机网络中实现安全通信，防止窃听并确保通信双方的认证。该库包含了安全套接层（SSL）和传输层安全（TLS）协议的开源实现。

该漏洞影响使用 RFC7250 原始公钥（RPK）的客户端 TLS/DTLS 连接。由于在 SSL_VERIFY_PEER 模式下服务器认证检查失败，攻击者可能利用此漏洞发起中间人攻击。苹果研究人员于 2024 年 12 月 18 日报告了该漏洞，并由 Viktor Dukhovni 修复。

漏洞主要影响那些显式启用 RPK 并依赖 SSL_VERIFY_PEER 来检测认证失败的 TLS 客户端。OpenSSL 维护者指出，默认情况下，RPK 在 TLS 客户端和服务器中均为禁用状态。项目公告中明确表示：“只有在 TLS 客户端显式启用服务器端的 RPK，且服务器也发送 RPK 而非 X.509 证书链时，才会引发此问题。受影响的客户端通过设置验证模式为 SSL_VERIFY_PEER，期望在服务器的 RPK 与预期公钥不匹配时握手失败。”

即便如此，启用服务器端原始公钥的客户端仍可通过调用 SSL_get_verify_result() 来检查原始公钥验证是否失败。该漏洞最初出现在 OpenSSL 3.2 版本的 RPK 支持实现中。受影响的版本包括 OpenSSL 3.4、3.3 和 3.2，此漏洞已在 3.4.1、3.3.2 和 3.2.4 版本中得到修复。

2022 年 11 月，OpenSSL 项目发布安全更新，修复了其加密库中的两个高严重性漏洞，编号分别为 CVE-2022-3602 和 CVE-2022-3786。这两个漏洞影响了 3.0.0 至 3.0.6 版本的库。

这两个漏洞均为缓冲区溢出问题，攻击者可通过提供特制的电子邮件地址在 X.509 证书验证中触发。Censys 发布的一篇文章中提到：“第一个漏洞 CVE-2022-3786 允许攻击者‘在证书中构造恶意电子邮件地址，以溢出包含.字符的任意字节。第二个漏洞 CVE-2022-3602 类似，但攻击者可以通过恶意电子邮件溢出栈上的四个受控字节。’这可能导致服务拒绝或远程代码执行。”

这种缓冲区溢出可能导致服务拒绝，甚至引发远程代码执行。