漏洞概述

0.31.0 之前的 golang.org/x/crypto 版本容易受到漏洞的影响，应用程序调用ServerConfig.PublicKeyCallback 函数并不能保证所提供的密钥确实用于身份验证。该漏洞一旦被成功利用，可能会受到授权绕过的影响。

更新记录

golang.org/x/crypto存在漏洞，导致YashanDB具有身份验证绕过风险

公告编号：YASHAN-SA-2025-0002          漏洞编号：CVE-2024-45337（CNNVD-202412-1406）          实际风险等级：低危

漏洞等级

严重

漏洞使用CVSSv3.1计分系统进行评分，详细评分标准请参考：https://www.first.org/cvss/specification-document。

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

影响产品

YashanDB

影响版本

23.4.3.100之前的版本

影响组件

OM

引入路径

golang.org/x/crypto开源库存在身份验证绕过风险

规避措施

由于此 API 被广泛滥用，作为部分缓解措施，golang.org/x/crypto@...31.0 强制执行以下属性：当通过公钥成功验证时，传递给 ServerConfig.PublicKeyCallback 的最后一个密钥将用于验证连接。如有必要，现在将使用同一密钥多次调用 PublicKeyCallback。请注意，如果随后使用其他方法（例如 PasswordCallback、KeyboardInteractiveCallback 或 NoClientAuth）验证连接，客户端可能仍然无法控制传递给 PublicKeyCallback 的最后一个密钥。

技术细节

SSH 协议允许客户端在证明对相应私钥的控制权之前从服务器查询公钥是否可接受。ServerConfig.PublicKeyCallback 可以使用多个密钥进行调用，并且密钥的提供顺序无法推断客户端成功使用哪个密钥进行身份验证（如果有）。某些应用程序存储传递给 PublicKeyCallback 的密钥（或派生信息），并在建立连接后根据该密钥做出安全相关的判断，因此可能会做出错误的假设。例如，攻击者可能发送公钥 A 和 B，然后使用 A 进行身份验证。PublicKeyCallback 只会被调用两次，第一次使用 A，第二次使用 B。然后，易受攻击的应用程序可能会根据密钥 B 做出授权决策，而攻击者实际上并不控制该密钥的私钥。

修复版本和获取途径

下载地址：软件交付平台 https://download.yasdb.com/sics_share YashanDB数据库--企业版--23.4版本--23.4.3--23.4.3.100

漏洞来源

该漏洞来源于Dependency-Track自动扫描。

FAQs

无

免责声明

本文件按“原样”提供，不承诺任何明示、默示和法定的担保，包括（但不限于）对适销性、适用性及不侵权的担保。 在任何情况下，深圳崖山科技有限公司（简称崖山科技）或相关的子公司，对任何损失，包括直接，间接，偶然，必然的商业利润损失或特殊损失均不承担责任。您以任何方式使用本文件所产生的一切法律责任由您自行承担。崖山科技可以随时对本文件所载的内容和信息进行修改或更新。