主要观点：openssl在0.10.0到0.10.69版本中，ssl::select_next_proto函数存在使用后释放的漏洞，可能导致服务器崩溃或向客户端返回任意内存内容。0.10.70版本已修复该问题，通过正确约束输出缓冲区的生命周期来避免该漏洞。
关键信息：

• 报告时间：2025 年 2 月 2 日
• 发布时间：2025 年 2 月 2 日
• 受影响的包：openssl
• 类型：漏洞
• 类别：memory-exposure
• 关键词：#ssl #tls #alpn
• 别名：GHSA-rpmj-rpgj-qmpm
• 参考链接：https://github.com/sfackler/rust-openssl/security/advisories/GHSA-rpmj-rpgj-qmpm、https://github.com/sfackler/rust-openssl/pull/2360
• 补丁版本：>=0.10.70
• 受影响函数：openssl::ssl::select_next_proto，版本>=0.10.0, <0.10.70
  重要细节：标准使用ssl::select_next_proto时，仅在server缓冲区在回调内部构造时才受影响，如在回调返回时释放server缓冲区的代码就存在漏洞，而server缓冲区具有'static生命周期或其生命周期长于握手过程的代码则不受影响。该咨询遵循CC0-1.0许可证。