Rustls-webpki 安全漏洞：URI 名称约束被错误接受，证书验证逻辑存在缺陷

Rustls-webpki 库中发现两个关键安全漏洞，涉及证书验证中名称约束的处理逻辑缺陷。第一个漏洞（RUSTSEC-2026-0098）导致 URI 名称约束被错误地接受而非拒绝。该库本身并未提供用于断言 URI 名称的 API，且 URI 名称约束功能并未实现，但验证逻辑却错误地忽略了这些约束。这意味着，在签名验证通过后，攻击者可能利用错误签发的证书绕过预期的名称限制。该漏洞已被分配编号 GHSA-965h-392x-2mh5，并由安全研究员 @1seal 报告。

第二个漏洞（RUSTSEC-2026-0099）涉及对包含通配符（wildcard）的证书断言错误地接受了名称约束。这两个漏洞的共同点在于，它们都位于证书验证流程的深层逻辑中，只有在签名验证成功且存在证书错误签发（misissuance）的情况下才可能被利用。这并非一个简单的远程代码执行漏洞，而是一个可能破坏 TLS/SSL 连接身份验证基础信任模型的逻辑缺陷。

受影响的版本为 [email protected]。官方已发布修复版本：>=0.103.12, <0.104.0-alpha.1, 以及 >=0.104.0-alpha.6。鉴于 Rustls 是 Rust 生态系统中广泛使用的 TLS 实现库，其底层证书验证库 webpki 的漏洞可能对依赖其进行安全通信的众多应用程序和服务构成潜在风险。开发人员需立即检查依赖并升级至安全版本。