漏洞信息详情

Michal Trojnara Stunnel OCSP 信任证书验证安全绕过漏洞

• CNNVD编号：CNNVD-200805-317
• 危害等级： 中危
  
• CVE编号： CVE-2008-2420
• 漏洞类型： 权限许可和访问控制
• 发布时间： 2008-05-23
• 威胁类型： 远程
• 更新时间： 2008-09-11
• 厂        商： stunnel
• 漏洞来源： Stunnel

漏洞简介

stunnel 4.24之前的版本中的OCSP函数没有正确地搜索信任凭证撤回列表，这使得远程攻击者可以通过使用无效的证书，绕过设置的访问限制。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

Stunnel Stunnel 4.23

Stunnel stunnel-4.24.tar.gz

ftp://stunnel.mirt.net/stunnel/stunnel-4.24.tar.gz

参考网址

来源: BID

名称: 29309

链接:http://www.securityfocus.com/bid/29309

来源: XF

名称: stunnel-ocsp-security-bypass(42528)

链接:http://xforce.iss.net/xforce/xfdb/42528

来源: MANDRIVA

名称: MDVSA-2008:168

链接:http://www.mandriva.com/security/advisories?name=MDVSA-2008:168

来源: VUPEN

名称: ADV-2008-1569

链接:http://www.frsirt.com/english/advisories/2008/1569/references

来源: MLIST

名称: [stunnel-announce] 20080519 stunnel 4.24 released

链接:http://stunnel.mirt.net/pipermail/stunnel-announce/2008-May/000035.HTML

来源: GENTOO

名称: GLSA-200808-08

链接:http://security.gentoo.org/glsa/glsa-200808-08.xml

来源: SECUNIA

名称: 31438

链接:http://secunia.com/advisories/31438

来源: SECUNIA

名称: 30335

链接:http://secunia.com/advisories/30335

来源: FEDORA

名称: FEDORA-2008-4606

链接:https://www.redhat.com/archives/fedora-package-announce/2008-May/msg00942.HTML

来源: FEDORA

名称: FEDORA-2008-4579

链接:https://www.redhat.com/archives/fedora-package-announce/2008-May/msg00907.HTML

来源: FEDORA

名称: FEDORA-2008-4531

链接:https://www.redhat.com/archives/fedora-package-announce/2008-May/msg00856.HTML

来源: SECUNIA

名称: 30425

链接:http://secunia.com/advisories/30425

受影响实体

• Stunnel Stunnel:3.10  
• Stunnel Stunnel:3.11  
• Stunnel Stunnel:3.12  
• Stunnel Stunnel:3.13  
• Stunnel Stunnel:3.14  

补丁

暂无