## Rustls-webpki 安全漏洞：URI 名称约束被错误接受，证书验证存在缺陷
Rustls-webpki 库中发现两个关键安全漏洞，影响其证书验证逻辑。第一个漏洞（RUSTSEC-2026-0098）的核心在于，库在处理包含 URI 名称约束的证书时，错误地接受了这些约束，而非按规范进行验证或拒绝。该库本身并未提供用于断言 URI 名称的 API，且 URI 名称约束功能并未完全实现。目前，所有 URI 名称约束已被无条件拒绝。值得注意的是，名称约束是对其他方面已正确签发的证书施加的限制，因此该漏洞仅在签名验证通过后才可被触及，需要依赖证书的错误签发才能被利用。

第二个漏洞（RUSTSEC-2026-0099）涉及对包含通配符（wildcard）域名的证书错误地接受名称约束。这可能导致本应被限制访问特定子域或路径的证书，被不当用于更广泛的验证场景。两个漏洞均源于库中名称约束处理逻辑的缺陷，可能被恶意行为者利用，通过精心构造的证书绕过预期的安全策略。

这些漏洞已通过安全公告 GHSA-965h-392x-2mh5 披露，并由研究员 @1seal 报告。受影响的 `rustls-webpki` 版本为 0.103.10。已发布的修复版本包括 >=0.103.12、<0.104.0-alpha.1 以及 >=0.104.0-alpha.6。依赖此库进行 TLS 连接和证书验证的 Rust 应用程序和服务面临潜在风险，可能影响依赖严格证书链验证的网络安全基础设施和通信系统。维护者需立即评估并升级至安全版本。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: security, vulnerability, rust, cryptography, tls
- **Credibility**: unverified
- **Published**: 2026-04-17 05:22:37
- **ID**: 68790
- **URL**: https://whisperx.ai/en/intel/68790