Apache-SSL客户端程序伪造漏洞

admin
admin
admin
0
文章
0
评论
2022-07-22 12:02:16 CNNVD漏洞 来源:ZONE.CI 全球网 0 阅读模式

漏洞信息详情

Apache-SSL客户端程序伪造漏洞

  • CNNVD编号:CNNVD-200403-042
  • 危害等级: 高危
  • CVE编号: CVE-2004-0009
  • 漏洞类型: 未知
  • 发布时间: 2004-02-07
  • 威胁类型: 远程
  • 更新时间: 2005-10-12
  • 厂        商: apache-ssl
  • 漏洞来源: Adam Laurie※ adam@...

漏洞简介

Apache是一款开放源代码WEB服务程序,其中可通过SSL对通信进行加密。 Apache-SSL在部分配置情况下存在问题,远程攻击者可以利用这个漏洞伪造客户端证书进行认证。 如果把SSLVerifyClient设置为1或3(客户端证书可选)及SSLFakeBasicAuth,Apache-SSL 1.3.28+1.52及之前版本允许客户端使用实际BASIC验证来伪造客户端证书。 所有攻击者需要一个合法用户的\"one-line DN\",用于在Apache-SSL伪造BASIC AUTH,和一个固定的密码(默认是\"password\")。

漏洞公告

厂商补丁: Apache-SSL ---------- 安装Apache-SSL 1.3.29+1.53:

http://www.apache-ssl.org/

参考网址

来源: BUGTRAQ 名称: 20040206 Apache-SSL security advisory - apache_1.3.28+ssl_1.52 and prior 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=107619127531765&w=2 来源: XF 名称: apachessl-default-password(15065) 链接:http://xforce.iss.net/xforce/xfdb/15065 来源: BID 名称: 9590 链接:http://www.securityfocus.com/bid/9590 来源: www.apache-ssl.org 链接:http://www.apache-ssl.org/advisory-20040206.txt 来源: OSVDB 名称: 3877 链接:http://www.osvdb.org/3877 来源: FULLDISC 名称: 20040206 [apache-ssl] Apache-SSL security advisory - apache_1.3.28+ssl_1.52 and prior 链接:http://lists.grok.org.uk/pipermail/full-disclosure/2004-February/016870.HTML

受影响实体

  • Apache-Ssl Apache-Ssl:1.3.28_1.52  

补丁

    暂无

weinxin
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
咨询加Q:999999999
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 安全领域涉猎者-乌云独行地带
获取本源码
售前咨询加Q:120433200
站媒体网仿《知更鸟》模板
获取本源码 zmt6.com
评论:0   参与:  0