在OpenSSL 中发现了一个严重的漏洞,OpenSSL 是一个被广泛使用的加密库,为无数的网站和在线服务提供安全保障。该漏洞编号为 CVE-2024-12797,影响到原始公钥(RPKs)的实现,原始公钥是一种替代传统 X.509 证书的身份验证方法。
这一缺陷可能使攻击者通过冒充服务器来实施中间人攻击。OpenSSL 的公告解释道:“使用 RFC7250 标准的原始公钥(RPKs)对服务器进行身份验证的客户端,可能无法察觉到服务器未通过身份验证,因为当设置为 SSL_VERIFY_PEER 验证模式时,握手过程不会像预期的那样中断。”
在 OpenSSL 中,原始公钥(RPKs)默认是禁用的,所以该漏洞仅影响那些明确启用了此功能的用户。然而,对于使用了原始公钥的用户来说,一旦攻击成功,后果可能会很严重,有可能导致数据泄露和未经授权的访问。
OpenSSL 3.4、3.3 和 3.2 版本存在此漏洞。该机构已发布了更新版本来修复这一缺陷:
1.OpenSSL 3.4 版本的用户应升级到 OpenSSL 3.4.1 版本。
2.OpenSSL 3.3 版本的用户应升级到 OpenSSL 3.3.2 版本。
3.OpenSSL 3.2 版本的用户应升级到 OpenSSL 3.2.4 版本。
需要注意的是,这一漏洞不影响任何 OpenSSL 版本中的 FIPS 模块,也不会影响 OpenSSL 3.1、3.0、1.1.1 和 1.0.2 版本。
苹果公司于 2024 年 12 月 18 日向 OpenSSL 报告了 CVE-2024-12797 漏洞。OpenSSL 敦促所有启用了原始公钥(RPKs)的用户尽快更新他们的系统,以降低漏洞被利用的风险。
发表评论
您还未登录,请先登录。
登录