情資卡編號:
TCCY-RCDC-200-202502-0000067
事件主旨:
OpenSSL高風險漏洞修補說明與建議
內容說明:
一、概述:
加密連線程式庫OpenSSL於2025年2月11日修補漏洞CVE-2024-12797(尚無CVSS評分),由於SSL_VERIFY_PEER模式下的伺服器驗證檢查失敗,使用RFC7250原始公鑰(RPK)的用戶端在建立TLS/DTLS連線時,可能容易受到中間人(MitM)攻擊。
OpenSSL於2025年2月11日修補CVE-2024-12797漏洞(尚無CVSS評分),由於用戶端透過RFC7250原生公鑰(RPK , Raw Public Key)對伺服器進行驗證的過程,設置為SSL_VERIFY_PEER的驗證模式下,未通過身分驗證的伺服器進行交握通訊時,仍可繼續連線,一旦透過這種公鑰進行TLS/DTLS連線時,攻擊者就有機會藉由伺服器驗證失敗的情況下,進行中間人攻擊(MitM, man-in-the-middle)。
預設情況下,TLS用戶端和TLS伺服器均會停用RPK,只有當TLS用戶端明確允許伺服器使用RPK時才會出現此問題。OpenSSL開發團隊說明OpenSSL於3.2版開始導入RPK支援,因此更早之前的版本,如3.1、3.0、1.1.1及1.0.2版,並不受漏洞影響。
二、影響範圍:
OpenSSL 3.4、3.3及3.2
風險等級:
2
建議措施:
已發布以下修補版本:
OpenSSL 3.4請更新至OpenSSL 3.4.1
OpenSSL 3.3請更新至OpenSSL 3.3.3
OpenSSL 3.2請更新至OpenSSL 3.2.4
其他資訊,請參閱以下官方網址說明:
https://openssl-library.org/news/secadv/20250211.txt