漏洞信息详情
Apache-SSL客户端程序伪造漏洞
- CNNVD编号:CNNVD-200403-042
- 危害等级: 高危
- CVE编号: CVE-2004-0009
- 漏洞类型: 未知
- 发布时间: 2004-02-07
- 威胁类型: 远程
- 更新时间: 2005-10-12
- 厂 商: apache-ssl
- 漏洞来源: Adam Laurie※ adam@...
漏洞简介
Apache是一款开放源代码WEB服务程序,其中可通过SSL对通信进行加密。 Apache-SSL在部分配置情况下存在问题,远程攻击者可以利用这个漏洞伪造客户端证书进行认证。 如果把SSLVerifyClient设置为1或3(客户端证书可选)及SSLFakeBasicAuth,Apache-SSL 1.3.28+1.52及之前版本允许客户端使用实际BASIC验证来伪造客户端证书。 所有攻击者需要一个合法用户的\"one-line DN\",用于在Apache-SSL伪造BASIC AUTH,和一个固定的密码(默认是\"password\")。
漏洞公告
厂商补丁: Apache-SSL ---------- 安装Apache-SSL 1.3.29+1.53:
http://www.apache-ssl.org/
参考网址
来源: BUGTRAQ 名称: 20040206 Apache-SSL security advisory - apache_1.3.28+ssl_1.52 and prior 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=107619127531765&w=2 来源: XF 名称: apachessl-default-password(15065) 链接:http://xforce.iss.net/xforce/xfdb/15065 来源: BID 名称: 9590 链接:http://www.securityfocus.com/bid/9590 来源: www.apache-ssl.org 链接:http://www.apache-ssl.org/advisory-20040206.txt 来源: OSVDB 名称: 3877 链接:http://www.osvdb.org/3877 来源: FULLDISC 名称: 20040206 [apache-ssl] Apache-SSL security advisory - apache_1.3.28+ssl_1.52 and prior 链接:http://lists.grok.org.uk/pipermail/full-disclosure/2004-February/016870.HTML
受影响实体
- Apache-Ssl Apache-Ssl:1.3.28_1.52
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论