OpenSSL 修补了高严重性漏洞 CVE-2024-12797

OpenSSL在计算机网络中是一个开放源代码的软件库包，应用程序可利用其来进行安全通信，避免窃听，同时确认另一端连接者的身份。

OpenSSL 是个被广泛使用的加密库，为无数的网站和在线服务提供安全保障，这一软件库包已经被广泛的应用在互联网的网页服务器上。

一、基本情况

作为基于密码学的安全开发包，OpenSSL的功能相当强大和全面，囊括主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议。

OpenSSL软件包可分成三个部分：SSL协议库、应用程序以及密码算法库。OpenSSL目录结构自然也是围绕这三个功能部分进行规划的。

栋科技漏洞库关注到OpenSSL受影响版本中近期曝光一个严重的安全漏洞，该安全漏洞被追踪为 CVE-2024-12797，其CVSS评分为7.3。

二、漏洞分析

2024年12月，苹果公司研究人员发现并报告了一个对广泛使用的加密库OpenSSL的严重安全漏洞，这一漏洞被命名为CVE-2024-12797。

该漏洞影响版本包括OpenSSL的3.2、3.3以及3.4版本，该漏洞主要关联到使用原始公钥（RPK）进行服务器身份验证的TLS和DTLS连接。

该漏洞的源头是在于服务器认证处理不当，这一漏洞会影响明确启用 RPK 并依赖 SSL_VERIFY_PEER 检测身份验证失败的 TLS 客户端。

漏洞影响原始公钥（RPKs）实现，原始公钥是一种替代传统 X.509 证书的身份验证方法，攻击者可能通过冒充服务器实施中间人攻击。

当客户端的验证模式设置为SSL_VERIFY_PEER时，如果握手过程中服务器未能正确认证，正常情况下应该中止连接的行为并不会发生。

若服务器无法提供匹配的公钥，使得握手没有按预期中止可能无法发现连接服务器处于未认证状态，导致传输数据可能被攻击者截获。

如果没有及时中断的话，就可能导致攻击者利用该漏洞通过实施中间人（MitM）攻击，截获窃取、篡改或操纵客户端和服务器间通信。

需要明确的是，RPK在TLS客户端和服务器的配置中默认是禁用的，因此漏洞不会影响所有OpenSSL用户，仅限于明确启用RPK的系统。

该漏洞不影响采用了SSL_get_verify_result()调用以检查验证状态的客户端的用户来说，但混合使用RPK和X.509证书的系统则需要注意。

OpenSSL项目已经迅速发布了针对改漏洞的修复补丁，提醒相关用户务必要升级到3.4.1、3.3.2和3.2.4版本，以防范中间人攻击的风险。

而对于那些仍在使用旧版的OpenSSL 1.1.1和1.0.2的用户来说，这一漏洞并不构成威胁，但是3.0至3.4版本的FIPS模块用户则仍需留意。

三、影响范围

OpenSSL 3.4 < 3.4.1

OpenSSL 3.3 < 3.3.2 

OpenSSL 3.2 < 3.2.4

四、修复建议

OpenSSL 3.4 >= 3.4.1

OpenSSL 3.3 >= 3.3.2

OpenSSL 3.2 >= 3.2.4

五、参考链接

此处内容已隐藏，评论后刷新即可查看！