漏洞关键信息 漏洞概述 名称: Case-Insensitive CN Values Bypass DNS excludedSubtrees Name Constraints (RFC 5280 Violation) CVE: CVE-2024-32884 严重程度: Moderate (5.9/10) CWE: CWE-295 (证书验证不当), CWE-178 (大小写敏感处理不当) 在处理使用名称约束限制允许DNS名称集的X.509证书路径时,如果证书中未定义主题备用名称(SAN),Botan会检查通用名称(CN)是否被DNS名称约束允许。但该检查未考虑混合大小写CN的情况——由于比较是区分大小写的,攻击者可以使用大小写混合的CN(如 )绕过针对 的 约束。 影响范围 受影响版本: <= 3.10.0 修复版本: 3.11.0 攻击场景: 攻击者持有无SAN、CN为大小写混合的证书,可绕过 名称约束,将证书呈现给使用Botan的客户端 主要影响环境: 使用名称约束限制CA签发范围的企业/政府PKI环境(如US FPKI、EU eIDAS、CA/B Forum BR Section 7.1.5约束的子CA) CVSS v3.1 评分详情 修复方案 升级至 Botan 3.11.0 或更高版本 致谢 报告者: Haruto Kimura