acme.sh 存在 RCE 漏洞,已经被国产 HiCA 利用

2023-06-09 17:36:55 +08:00
 baobao1270

https://github.com/acmesh-official/acme.sh/issues/4659

一家来自中国证书颁发机构 HiCA 正在向 ACME 质询过程中注入任意命令,并且可以被 acme.sh 在客户端执行。

建议大家不要使用 HiCA 这家 CA ,最好仅使用知名的证书服务比如 ZeroSSL, Let's Encrypt, Google Trust Service 等。

他们甚至还申请了专利……: https://qxb-img-osscache.qixin.com/patents_pdf_new/2219395a941e8bae0e5cb4475b3b3610.pdf

10012 次点击
所在节点    信息安全
47 条回复
yzc27
2023-06-10 11:08:46 +08:00
@xiangyuecn #40 谢谢大佬,这看起来挺不错,至少能图形化操作。我不太懂技术,用它不会把我域名申请到的证书传到别的服务器上吧?
xiangyuecn
2023-06-10 11:20:13 +08:00
@yzc27 #41 不会的,这个网页特意做成的一个单一文件,包括图标都是内嵌的;申请证书过程中请求的接口数据,可以按 F12 打开浏览器控制台查 Network 面板里面看得到,只会给选定的 ACME 接口发送数据;其中使用到的私钥只用于数据签名,私钥内容不会发送给任何人。
julyclyde
2023-06-10 11:57:43 +08:00
@azure2023us928 本来专利也不意味着价值。所以现在并不会“变得没那么”有价值
yzc27
2023-06-10 12:14:08 +08:00
@xiangyuecn #42 您这个部署到 github pages 上可行吗?
lwjef
2023-06-10 13:48:33 +08:00
@jim9606 #28 估计想表达的是小项目用 gpl 证书有些膈应人,不能拿来特别小修直接用,自己写个部分功能满足自己的也不难,因此不想回馈代码了。
adoyle
2023-06-10 14:30:32 +08:00
在最新版本的 acme.sh 已移除了 exec 。这个专利没用了。
https://github.com/acmesh-official/acme.sh/issues/4659#issuecomment-1584561604
xiangyuecn
2023-06-10 16:26:10 +08:00
@yzc27 #44 有 github 的,只是一个 html 文件,放电脑上也可以直接打开

https://xiangyuecn.github.io/ACME-HTML-Web-Browser-Client/ACME-HTML-Web-Browser-Client.html

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/947389

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX