OpenSSL 软件库曝高危漏洞,可实施中间人攻击
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
OpenSSL 修复了高危漏洞 CVE-2024-12797,该漏洞可能导致中间人攻击,影响使用 RFC7250 原始公钥的 TLS 客户端,特别是在 SSL_VERIFY_PEER 模式下的认证检查失败。受影响版本包括 OpenSSL 3.2、3.3 和 3.4,已在新版本中修复。
🎯
关键要点
- OpenSSL 修复了高危漏洞 CVE-2024-12797,可能导致中间人攻击。
- 该漏洞影响使用 RFC7250 原始公钥的 TLS 客户端,特别是在 SSL_VERIFY_PEER 模式下。
- 受影响版本包括 OpenSSL 3.2、3.3 和 3.4,已在新版本中修复。
- 漏洞由苹果研究人员于 2024 年 12 月 18 日报告,Viktor Dukhovni 进行了修复。
- 默认情况下,RPK 在 TLS 客户端和服务器中均为禁用状态。
- 启用服务器端原始公钥的客户端可通过调用 SSL_get_verify_result() 检查验证是否失败。
- 历史上,OpenSSL 还修复了 CVE-2022-3602 和 CVE-2022-3786 两个高严重性漏洞,涉及缓冲区溢出问题。
❓
延伸问答
CVE-2024-12797 漏洞的影响是什么?
该漏洞可能导致中间人攻击,影响使用 RFC7250 原始公钥的 TLS 客户端,特别是在 SSL_VERIFY_PEER 模式下的认证检查失败。
哪些版本的 OpenSSL 受到 CVE-2024-12797 漏洞的影响?
受影响的版本包括 OpenSSL 3.2、3.3 和 3.4。
如何检查原始公钥验证是否失败?
启用服务器端原始公钥的客户端可以通过调用 SSL_get_verify_result() 来检查验证是否失败。
CVE-2024-12797 漏洞是由谁发现并修复的?
该漏洞由苹果研究人员发现,并由 Viktor Dukhovni 修复。
默认情况下,RPK 在 TLS 客户端和服务器中是启用还是禁用?
默认情况下,RPK 在 TLS 客户端和服务器中均为禁用状态。
OpenSSL 过去修复过哪些高严重性漏洞?
OpenSSL 过去修复过 CVE-2022-3602 和 CVE-2022-3786 两个高严重性漏洞,涉及缓冲区溢出问题。
🏷️
标签
➡️
