VU#862559: crypton-x509-validation Haskell 라이브러리가 X.509 NameConstraints를 강제하지 않음
Haskell TLS 소프트웨어 스택에서 Haskell 프로그래밍 언어로 구축된 애플리케이션에 영향을 미치는 중대한 취약점이 발견되었습니다. 특정 라이브러리인 "crypton-x509-validation"은 NameConstraints 보안 기능을 제대로 적용하지 못합니다. RFC 5280에 정의된 NameConstraints는 인증 기관이 발급할 수 있는 도메인을 제어하는 데 중요합니다. 이 오류로 인해 공격자가 하위 CA를 침해하면 의도된 범위를 넘어선 도메인에 대한 인증서를 발급할 수 있습니다. 결과적으로 이러한 악성 인증서는 취약한 Haskell TLS 연결에 의해 수락됩니다. 이를 통해 공격자는 암호화된 세션에 대한 완전한 가시성을 확보할 수 있습니다. 이 취약점의 영향은 민감한 금융 정보 및 자격 증명의 도난으로 이어질 수 있습니다. 위임된 공개 키 인프라 구조를 사용하는 산업이 특히 위험합니다. crypton-x509-validation 버전 1.9.1 이전 버전이 영향을 받습니다. crypton-x509-validation 라이브러리 버전 1.9.1에서 수정 사항이 제공됩니다. 이 보안 위험을 완화하기 위해 사용자는 즉시 패치된 버전으로 업데이트하는 것이 강력히 권장됩니다. 이 취약점은 CVE-2026-9648로 추적됩니다.