CVE-2024-45159 in mbed TLS
요약
\~에 의해 VulDB • 2026. 06. 11.
Mbed TLS 3.x 버전 중 3.6.1 이전 버전에 결함이 발견되었습니다. TLS 1.3 환경에서 서버가 클라이언트의 선택적 인증을 활성화한 경우, 클라이언트가 제공한 인증서에 keyUsage 또는 extKeyUsage 확장에 적절한 값이 포함되어 있지 않으면 mbedtls_ssl_get_verify_result()의 반환값에서 MBEDTLS_X509_BADCERT_KEY_USAGE 및 MBEDTLS_X509_BADCERT_KEY_USAGE 비트가 잘못 cleared(제거)됩니다. 그 결과, TLS 클라이언트 인증용으로만 유효한 다른 용도에 대한 인증서를 보유한 공격자라 하더라도 해당 인증서를 사용하여 TLS 클라이언트 인증을 수행할 수 있게 됩니다. 영향을 받는 것은 오직 TLS 1.3 서버이며, 선택적 인증(선택이 아닌 필수 인증의 경우 핸드셰이크가 치명적인 경고로 중단됨) 상황에서만 문제가 발생합니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.