OpenSSL 现严重漏洞

据Cybersecuritynews消息，OpenSSL 项目宣布广泛使用的加密库 3.2、3.3 和 3.4 版本存在高严重性漏洞（CVE-2024-12797）。该漏洞由苹果公司于 2024 年 12 月发现，可能导致在依赖原始公钥（RPK）进行服务器认证的 TLS 和 DTLS 连接上发生中间人（MitM）攻击。 此漏洞源于使用 RFC7250 原始公钥握手时，服务器认证失败处理不当。客户端可能无法检测到服务器未认证，使连接在 RPK 验证失败时易受攻击。不过，因 TLS 客户端和服务器默认禁用 RPK，仅双方都明确启用 RPK 功能的系统受影响。 OpenSSL 已发布补丁。