CVE-2024-45159 in mbed TLSthông tin

Tóm tắt

Bởi VulDB • 11/06/2026

Đã phát hiện một vấn đề trong Mbed TLS phiên bản 3.x trước 3.6.1. Với giao thức TLS 1.3, khi máy chủ bật tính năng xác thực tùy chọn cho khách hàng (client), nếu chứng chỉ do khách hàng cung cấp không có các giá trị phù hợp trong phần mở rộng keyUsage hoặc extKeyUsage, thì giá trị trả về của hàm mbedtls_ssl_get_verify_result() sẽ sai sót ở chỗ làm rõ (clear) các bit MBEDTLS_X509_BADCERT_KEY_USAGE và MBEDTLS_X509_BADCERT_KEY_USAGE. Kết quả là một kẻ tấn công sở hữu chứng chỉ hợp lệ cho các mục đích khác ngoài xác thực khách hàng TLS vẫn có thể sử dụng nó để xác thực khách hàng TLS. Chỉ các máy chủ hỗ trợ TLS 1.3 mới bị ảnh hưởng, và chỉ trong trường hợp xác thực tùy chọn (với yêu cầu bắt buộc, quá trình bắt tay handshake sẽ bị hủy bỏ với cảnh báo lỗi nghiêm trọng).

If you want to get best quality of vulnerability data, you may have to visit VulDB.

chịu trách nhiệm

MITRE

Đặt trước

22/08/2024

Tiết lộ

05/09/2024

Kiểm duyệt

được chấp nhận

EPSS

0.00387

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to stay up to date on a daily basis?

Enable the mail alert feature now!