漏洞总结 漏洞概述 在wolfSSL库的FIPS(Federal Information Processing Standards)模式下, 函数存在逻辑缺陷,未能正确拒绝特定的Ed448公钥(E0448 identity public key)。这导致在FIPS合规性检查中,非法公钥被错误地接受,而非像预期那样返回错误。 影响范围 受影响组件:wolfSSL库的Ed448公钥导入功能( )。 测试失败: 测试用例失败。 具体表现:在FIPS模式下导入特定公钥时,函数返回0(成功),而预期应返回非0值(失败)。 修复方案 通过PR #10116 "Additional fixes" 进行了修复,主要包含以下安全补丁: 1. 修复Ed448公钥验证:确保在FIPS模式下正确拒绝E0448身份公钥("Properly reject E0448 identity public key")。 2. 修复DhKey公钥验证("fix for wc_DhKey public key validation")。 3. 修复DTLS溢出:限制DTLS 3中ACK记录数量以防止溢出("Cap DTLS 3 max ACK records to prevent overflow")。 4. 修复PKCS7问题:在PKCS7解码方法中尊重输出大小限制("Respect outputSz in PKCS7 decode methods"),并修复了PKCS7解密中的栈缓冲区溢出问题("Fix stack buffer overflow in wc_PKCS7_DecryptOr...")。 相关代码/日志证据** 截图中展示了测试失败的详细日志,揭示了漏洞的具体表现: 以及相关的测试用例名称: