OVN TLS 验证接受对等提供的根证书 (CVE-2024-40243) 漏洞概述 Incus 的 OVN 数据库连接逻辑中的 TLS 验证存在缺陷。Incus 禁用了 Go 标准 TLS 服务器验证,并使用了自定义的对等证书验证逻辑。该逻辑在握手期间从对等方接收到的原始证书中构建信任根池,而不是使用配置的 CA 池。这导致攻击者可以伪造证书链,从而绕过身份验证。 影响范围 受影响版本: (Go) = v7.0.0 CVSS 评分:2.3 / 10 (Low) 攻击向量:本地 (Local) 攻击复杂度:低 (Low) 所需权限:高 (High) 用户交互:无 (None) 机密性:低 (Low) 完整性:低 (Low) 可用性:无 (None) 修复方案 建议验证对等证书是否针对配置的 CA 池,而不是针对从不受信任的输入合成的根。最安全的修复方法是移除自定义的 逻辑,并依赖 Go 标准 TLS 验证,使用 设置配置的 CA 池,并在适用时将 设置为适当的身份验证。 POC 代码