漏洞关键信息总结 漏洞概述 OpenSSL 的 RSA KEM (Key Encapsulation Mechanism) 实现中存在逻辑缺陷。 函数在操作失败时返回 -1,成功时返回写入的字节数。原有的代码仅通过 检查返回值,这导致当底层 RSA 加密操作失败(返回 -1)时,程序错误地判定为成功。在这种情况下,代码报告成功并返回了长度,且保留了新生成的秘密(secret)而未将其丢弃,导致敏感信息泄露。 影响范围 关联 CVE: CVE-2020-31799 涉及文件: 涉及功能: RSASVE (RSA Secret Value Encryption) 功能。 修复方案 收紧了成功条件的判断逻辑。修复后的代码要求 的返回值必须为正数,且必须等于预期的模数大小输出 ( )。任何其他的返回值(包括负数)都被视为失败,并在返回前调用 清理生成的秘密,防止泄露。 修复代码块**