近日，OpenSSL项目发布了一则关于高危安全漏洞的警告，该漏洞编号为CVE-2024-12797，影响了广泛使用的加密库的3.2、3.3和3.4版本。此漏洞的发现源于苹果公司于2024年12月的研究，尤其是在开放原始公钥（RPK）进行服务器身份验证时，可能会导致对TLS和DTLS连接的中间人（MitM）攻击。

　　这一漏洞的本质在于握手过程中的服务器认证失败处理不当。当使用SSL_VERIFY_PEER验证模式的客户端连接到服务器时，如果RPK验证失败，握手并不会按照预期中止。这样，在未能正确检测到服务器身份的情况下，攻击者就能够趁机进行中间人攻击，截获和操纵客户端与服务器之间的通信链路。尽管在一般情况下，RPK功能在TLS客户端和服务器中都是关闭的，但一旦被显式启用，就会暴露于本漏洞之下。

　　OpenSSL的顾问指出，启用RPK的客户端通过调用SSL_get_verify_result()函数仍然能够发现验证失败，而因此采取适当措施的客户端不会受到影响。旧版本的OpenSSL（如1.1.1和1.0.2）以及3.0到3.4的FIPS模块并不受到此次安全漏洞的影响，意味着用户在没有进入新版本的情况下，仍能较为安全地运行。

　　此次漏洞所引发的关注不仅在于其技术层面，更在于不断上升的网络安全威胁背景下，如何保护用户与数据的安全。用户们在日常使用中，尤其是在涉及敏感信息传递时，必须保持更高的警觉，特别是在决定是否启用新功能时应仔细评估可能的安全风险类似shadowrocket的安卓版。

　　针对这个漏洞，OpenSSL团队已经发布了修复补丁。建议使用以下版本的用户尽快升级：OpenSSL 3.4的用户应升级至3.4.1版本，3.3用户应升级至3.3.2版本，而3.2用户则需升级至3.2.4版本。实施补丁后，用户便可以有效减少或消除此次漏洞带来的风险。

　　随着互联网的飞速发展，用户对数据安全的重视日益加强，但技术的复杂性和行业内的种种漏洞也让安全问题愈发突出。我们在享受数字化便利的同时，不可忽视潜藏在背后的安全隐患。与此同时，这样的事件也提醒科技界，必须持续投入资源进行安全研究和技术升级，确保为用户提供一个安全可靠的网络环境。对此，业界有必要加强协作，共同打击网络安全威胁，进而保护用户的数据安全和隐私权利。