Async Http Client 欺騙漏洞 (CVE-2013-7397)

jopen 9年前發布 | 7K 次閱讀 Async Http Client

發布日期:2015-06-25
更新日期:2015-06-25

受影響系統:

AsyncHttpClient AsyncHttpClient < 1.9.0

描述:

CVE(CAN) ID: CVE-2013-7397

Async Http Client是異步HTTP及WebSocket客戶端Java庫。

Async Http Client 1.9.0之前版本,會跳過了X.509證書驗證,除非keyStore位置及trustStore位置均顯式設置。中間人攻擊者在使用典型AHC配置中顯示任意證書,即可欺騙HTTP服務器。

<*來源:losar
  *>

建議:

廠商補丁:

AsyncHttpClient
---------------
目前廠商已經發布了升級補丁以修復這個安全問題,請到廠商的主頁下載:

https://github.com/AsyncHttpClient/async-http-client

https://github.com/AsyncHttpClient/async-http-client/issues/352

https://github.com/AsyncHttpClient/async-http-client/issues/197

本文轉載自: http://www.linuxidc.com/Linux/2015-06/119253.htm
 本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
 轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
 本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!
  本文地址:http://www.baiduhome.net/news/view/138f5c