【安全资讯】CVE-2024-45337：Golang加密库存在缺陷，风险授权绕过

概要：

近期发现一个严重的安全漏洞，编号为CVE-2024-45337（CVSS评分9.1），该漏洞存在于Golang加密库中。该缺陷源于ServerConfig.PublicKeyCallback函数的误用，可能导致应用程序和库中的授权绕过问题，给用户和企业带来潜在风险。

主要内容：

该漏洞的根源在于PublicKeyCallback函数的设计，其旨在允许服务器在SSH连接中验证客户端提供的公钥的真实性。然而，文档明确指出，该回调并不保证用于身份验证的实际密钥。漏洞的出现是因为应用程序错误地依赖于呈现给PublicKeyCallback的密钥的顺序或内容来做出授权决策。攻击者可以通过以下方式利用这一点：

1. 提供多个公钥：攻击者可以发送一系列公钥，意图误导服务器。

2. 使用不同的密钥进行身份验证：即使服务器验证了特定的公钥，攻击者仍然可以使用完全不同的方法进行身份验证（例如，密码或键盘交互）。这种呈现的密钥与实际身份验证方法之间的不一致，可能会欺骗脆弱的应用程序授予未授权访问。

为缓解此问题，建议用户升级到golang.org/x/crypto v0.31.0或更高版本，该版本包含强制使用成功公钥身份验证时传递给PublicKeyCallback的最后一个密钥的关键修复。此外，应用程序应利用身份验证回调中的Permissions字段，避免基于外部状态或密钥的顺序做出授权决策。