漏洞概述 漏洞名称: crypto/x509: split candidate hostname only once 漏洞描述: 在验证主机名时, 函数在循环中多次调用 ,导致对每个 DNS Subject Alternative Name (SAN) 条目执行重复的字符串分割操作。这引发了性能问题,尤其是在大型 DNS SAN 列表中,验证成本随 SAN 条目数量和主机名标签数量的平方增长。 影响范围 影响组件: 包中的 函数 影响场景: 所有使用 进行主机名验证的场景,特别是当 DNS SAN 列表较大时,性能问题尤为明显。 修复方案 修复措施: 优化 函数,确保对每个输入主机名只执行一次字符串分割操作,避免重复计算。 修复代码: 修复提交: - 提交者: Ian Alexander - 提交时间: May 28 - 提交链接: 783621 其他信息 报告者: Jakub Ćiołek 相关 Issue: #2624 相关 CVE: CVE-2025-27145 代码块 总结 该漏洞主要影响 包中的主机名验证功能,特别是在处理大型 DNS SAN 列表时性能问题显著。通过优化 函数,确保对每个输入主机名只执行一次字符串分割操作,可以有效解决这一问题。