漏洞信息详情

internet2 shibboleth-sp 加密问题漏洞

• CNNVD编号：CNNVD-200910-064
• 危害等级： 低危
  
• CVE编号： CVE-2009-3475
• 漏洞类型： 加密问题
• 发布时间： 2009-09-29
• 威胁类型： 远程
• 更新时间： 2009-09-30
• 厂        商： internet2
• 漏洞来源：

漏洞简介

Internet2 Shibboleth Service Provider software 1.3.3版本之前的1.3.x版本以及2.2.1版本之前的2.x版本,当在运行PKIX委托验证程序时,没有试点各地处理证书subject或subjectAltName字段的一个\'\'＼0\'\'字符,这会允许远程中间人攻击者借助一个特制的由合法的证书认证机构颁发的证书来骗取任意SSL。

漏洞公告

参考网址

来源: DEBIAN

名称: DSA-1896

链接:http://www.debian.org/security/2009/dsa-1896

来源: DEBIAN

名称: DSA-1895

链接:http://www.debian.org/security/2009/dsa-1895

来源: shibboleth.internet2.edu

链接:http://shibboleth.internet2.edu/secadv/secadv_20090817.txt

来源: SECUNIA

名称: 36876

链接:http://secunia.com/advisories/36876

来源: SECUNIA

名称: 36861

链接:http://secunia.com/advisories/36861

来源: SECUNIA

名称: 36855

链接:http://secunia.com/advisories/36855

受影响实体

• Internet2 Shibboleth-Sp:1.3f  
• Internet2 Shibboleth-Sp:1.3.1  
• Internet2 Shibboleth-Sp:1.3.2  
• Internet2 Shibboleth-Sp:2.0  
• Internet2 Shibboleth-Sp:2.1  

补丁

暂无