从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称:Limited authentication bypass in TLS 1.3 optional client authentication 2. CVE编号:CVE-2024-45159 3. 发布日期:30 August 2024 4. 受影响的版本:Mbed TLS 3.2.0 to 3.6.0 5. 严重性:Medium 6. 漏洞描述: - TLS服务器可以使用可选的客户端认证,然后在握手完成后再调用 来检查客户端是否提供了证书并是否有效。 - 在Mbed TLS 3.6.0中,如果客户端提供的证书没有 和 扩展, 会返回0,错误地表示证书有效。 - 这个漏洞只影响TLS 1.3的可选客户端认证,不影响强制认证和TLS 1.2。 7. 影响: - 攻击者可以使用有效的非TLS客户端认证证书进行TLS客户端认证。 - 需要证书有效(特别是由信任的CA签名)。 8. 受影响的版本: - 该漏洞存在于3.2.0版本,这是第一个支持客户端认证的TLS 1.3版本。 - 在3.6.0之前,TLS 1.3的客户端认证是默认禁用的,因此在默认构建中没有这个漏洞。 - 从3.6.0开始,TLS 1.3的客户端认证成为默认启用的,使得这个漏洞出现在默认配置中。 9. 解决方案: - 受影响的用户应升级到Mbed TLS 3.6.1。 10. 绕过方法: - 通过强制使用TLS 1.2并使用可选客户端认证,可以避免这个问题。所有服务器在调用 时,也应该调用 。 这些信息可以帮助理解漏洞的性质、影响范围以及如何解决或绕过这个问题。