Rustls-webpki 安全漏洞：URI 名称约束被错误接受，证书验证存在缺陷

Rustls-webpki 库中发现两个关键安全漏洞，可能影响依赖其进行 TLS 证书验证的 Rust 应用程序的安全性。第一个漏洞（RUSTSEC-2026-0098）的核心在于，库在处理包含 URI 名称约束的 X.509 证书时，错误地接受了这些约束，而实际上它并未实现相应的验证逻辑。这意味着，一个本应被拒绝的、包含特定 URI 限制的证书，可能被错误地视为有效。该漏洞的利用前提是攻击者能够获得一个被错误签发的证书，并在通过签名验证后触发此缺陷。

第二个漏洞（RUSTSEC-2026-0099）涉及对包含通配符（wildcard）域名的证书处理。库在应用名称约束时，未能正确处理此类证书，可能导致约束被不当绕过或错误应用，从而影响对服务器身份的验证。这两个漏洞均存在于 `rustls-webpki` 的 0.103.10 版本中，并已分配了 GitHub 安全公告编号 GHSA-965h-392x-2mh5。安全研究员 @1seal 报告了这些问题。

维护团队已发布修复版本。对于使用 0.103.x 系列的用户，应升级至 0.103.12 或更高版本（但低于 0.104.0-alpha.1）。对于已使用 0.104.0 预发布版本的用户，则需要升级至 0.104.0-alpha.6 或更高版本。虽然利用这些漏洞需要先获得一个被误签的证书，但它们直接动摇了 TLS 栈中证书验证这一基础安全环节的可靠性，对任何使用受影响版本库的 Rust 网络服务构成了潜在风险。