EDK2项目中OpenSSL升级至3.0.15版本以应对CVE-2024-6119问题

近期，EDK2项目中的CryptoPkg组件因OpenSSL库的安全问题（CVE-2024-6119）启动了紧急升级流程。该问题影响证书名称验证过程中的内存访问异常，可能导致应用程序异常终止。本文将深入分析问题原理、影响范围及修复方案。

问题技术分析

CVE-2024-6119属于证书验证过程中的边界条件问题。当应用程序执行证书名称检查时（例如TLS客户端验证服务器证书），若遇到X.509证书的otherName类型主题备用名称，可能尝试读取无效内存地址。这种异常情况仅发生在以下复合条件：

1. 启用主机名/IP地址验证功能（如通过TlsSetVerifyHost()）
2. 证书链中包含特殊构造的otherName字段
3. 应用程序明确指定了预期的DNS名称、电子邮件地址或IP地址

值得注意的是，基础证书链验证（签名验证、有效期检查等）不受此问题影响，问题仅导致拒绝服务而非权限提升。

影响版本范围

该问题影响OpenSSL多个主要版本：

• 受影响版本：3.0.x至3.3.x全系列
• 不受影响版本：1.0.2/1.1.1系列及所有FIPS模块

特别需要指出的是，EDK2当前集成的OpenSSL版本正处于受影响范围内，这使得升级工作具有较高优先级。

修复方案实施

EDK2项目组采取了以下升级路径：

• OpenSSL 3.0分支升级至3.0.15版本
• 同步更新相关密码学接口的兼容性适配层

升级过程中重点关注了：

1. 内存安全验证机制的回归测试
2. 证书验证路径的边界条件测试
3. 向后兼容性保障

开发者建议

对于基于EDK2进行开发的团队，建议：

1. 立即同步最新代码库获取安全更新
2. 重新验证所有依赖证书验证的功能模块
3. 在自定义安全策略中审慎评估otherName字段的使用场景

该修复已通过EDK2主分支的代码审查流程，体现了开源社区对安全问题的快速响应能力。此次升级不仅解决了特定问题，更进一步强化了EDK2密码学基础架构的健壮性。