VU#862559:crypton-x509-validat... 笔记

VU#862559:crypton-x509-validation Haskell 库未强制实施 X.509 名称约束

在 Haskell TLS 软件栈中发现了一个严重漏洞,影响使用 Haskell 编程语言构建的应用程序。具体而言,"crypton-x509-validation"库未能强制实施 NameConstraints 安全特性。NameConstraints 由 RFC 5280 定义,对于控制证书颁发机构(CA)可颁发证书的域名范围至关重要。这一疏忽使得攻击者在攻破子 CA 后,可为其授权范围之外的域名颁发证书。因此,任何受影响的 Haskell TLS 连接都将接受这些恶意证书。这使得攻击者能够完全窥探加密会话内容。该漏洞的影响可能导致敏感金融信息和凭证被盗。采用委托公钥基础设施(PKI)结构的行业面临特别高的风险。crypton-x509-validation 库 1.9.1 版本之前的版本均受影响。crypton-x509-validation 库 1.9.1 版本已提供修复方案。强烈建议用户立即更新至修补版本以缓解此安全风险。该漏洞的编号为 CVE-2026-9648。