OpenSSL 软件库曝高危漏洞,可实施中间人攻击
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
OpenSSL 修复了高危漏洞 CVE-2024-12797,该漏洞可能导致中间人攻击,影响使用 RFC7250 原始公钥的 TLS 客户端,特别是在 SSL_VERIFY_PEER 模式下的认证检查失败。受影响版本包括 OpenSSL 3.2、3.3 和 3.4,已在新版本中修复。
🎯
关键要点
- OpenSSL 修复了高危漏洞 CVE-2024-12797,可能导致中间人攻击。
- 该漏洞影响使用 RFC7250 原始公钥的 TLS 客户端,特别是在 SSL_VERIFY_PEER 模式下。
- 受影响版本包括 OpenSSL 3.2、3.3 和 3.4,已在新版本中修复。
- 漏洞由苹果研究人员于 2024 年 12 月 18 日报告,Viktor Dukhovni 进行了修复。
- 默认情况下,RPK 在 TLS 客户端和服务器中均为禁用状态。
- 启用服务器端原始公钥的客户端可通过调用 SSL_get_verify_result() 检查验证是否失败。
- 历史上,OpenSSL 还修复了 CVE-2022-3602 和 CVE-2022-3786 两个高严重性漏洞,涉及缓冲区溢出问题。
🏷️
标签
➡️
