漏洞概述 CVE编号: CVE-2026-55952 漏洞类型: TLS 1.3 服务器拒绝服务(DoS)通过畸形 ClientHello 预共享密钥扩展 CVSS 4.0 评分: 8.2 (高) 漏洞描述: Erlang/OTP ssl 应用程序未验证 TLS 1.3 ClientHello 预共享密钥扩展中的 PSK 身份列表和绑定器列表长度。当 接收到带有不匹配身份和绑定器数量的 记录时,会直接转发到 ,导致会话票证处理程序崩溃。 影响范围 受影响模块: 源文件: 例程: 受影响版本: - OTP 9.5: 不受影响于 11.7.3, 11.6.0.3, 11.2.12.10 - OTP 22.2: 不受影响于 29.0.3, 28.5.0.3, 27.3.4.14 - Git 版本: 339a279f62, 477023e6d9, 2c3e59979764, 9b5a437c72f 修复方案 配置: 仅影响启用了会话票证的 TLS 1.3 服务器(有状态或无状态模式)。TLS 1.2 连接和客户端不受影响。 变通方法: - 在服务器的 选项中设置 为禁用。 - 将服务器限制为 TLS 1.2,通过在服务器的 选项中设置 为 。 参考链接 GitHub 安全公告 OSV.dev 漏洞页面 GitHub 提交记录 GitHub 提交记录 GitHub 提交记录 贡献者 发现者: Lukas Backström 修复开发者: Ingela Anderton Andin 修复审查者: Dan Gudmundsson, Jakub Witczak