漏洞概述 CVE ID: CVE-2026-32144 漏洞名称: OCSP designated-responder authorization bypass via missing signature verification (OCSP指定响应者授权绕过,通过缺失的签名验证) CVSS Score: 7.6 (HIGH) 描述: Erlang OTP 模块中的 存在不正确的验证漏洞。 函数在验证OCSP响应时,未验证CA指定的响应者证书是否由颁发CA进行加密签名,仅检查响应者证书的颁发者名称是否与CA主体名称匹配。 后果: 攻击者可创建带有匹配颁发者名称和OCSPSigning EKU的自签名证书,伪造OCSP响应,将已吊销的证书标记为有效。这会影响使用OCSP stapling的SSL/TLS客户端,导致其接受来自已吊销证书服务器的连接,可能泄露敏感数据。 影响范围 该漏洞影响以下模块和版本: 模块: 和 受影响的OTP版本: OTP 27.0 至 OTP 28.4.2 OTP 27.3.4.10 具体包版本: : 1.10 (受影响), 1.20.3 (修复), 1.17.1.2 (修复) : 11.2 (受影响), 11.5.4 (修复), 11.2.1.7 (修复) : 27.9 (受影响), 28.4.2 (修复), 27.3.4.10 (修复) 修复方案 (Workarounds) 对于SSL用户: 不要禁用OCSP验证设置(当前默认是 )。 使用基于CRL的吊销检查,通过设置 SSL选项代替。 对于直接使用 的应用程序: 传递 选项,该函数用于验证受信任的响应者证书。 * 通过网络控制限制OCSP响应者访问(仅适用于您控制OCSP基础设施的情况)。