CVE-2024-45159 in mbed TLS
Tóm tắt
Bởi VulDB • 11/06/2026
Đã phát hiện một vấn đề trong Mbed TLS phiên bản 3.x trước 3.6.1. Với giao thức TLS 1.3, khi máy chủ bật tính năng xác thực tùy chọn cho khách hàng (client), nếu chứng chỉ do khách hàng cung cấp không có các giá trị phù hợp trong phần mở rộng keyUsage hoặc extKeyUsage, thì giá trị trả về của hàm mbedtls_ssl_get_verify_result() sẽ sai sót ở chỗ làm rõ (clear) các bit MBEDTLS_X509_BADCERT_KEY_USAGE và MBEDTLS_X509_BADCERT_KEY_USAGE. Kết quả là một kẻ tấn công sở hữu chứng chỉ hợp lệ cho các mục đích khác ngoài xác thực khách hàng TLS vẫn có thể sử dụng nó để xác thực khách hàng TLS. Chỉ các máy chủ hỗ trợ TLS 1.3 mới bị ảnh hưởng, và chỉ trong trường hợp xác thực tùy chọn (với yêu cầu bắt buộc, quá trình bắt tay handshake sẽ bị hủy bỏ với cảnh báo lỗi nghiêm trọng).
If you want to get best quality of vulnerability data, you may have to visit VulDB.