漏洞信息详情
IO::Socket::SSL Perl证书限制绕过漏洞
- CNNVD编号:CNNVD-201012-316
- 危害等级: 中危
- CVE编号: CVE-2010-4334
- 漏洞类型: 加密问题
- 发布时间: 2010-12-27
- 威胁类型: 远程
- 更新时间: 2011-01-17
- 厂 商: io-socket-ssl
- 漏洞来源: Daniel Kahn Gillmor
漏洞简介
IO::Socket::SSL是一个Perl模块,使用SSL加密数据。
当verify_mode未置为VERIFY_NONE时,IO::Socket::SSL Perl模块1.35版本未能开启VERIFY_NONE而是在ca_file/ca_path不能验证时抛出错误。远程攻击者可以利用该漏洞绕过预设的证书限制。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://search.cpan.org/dist/IO-Socket-SSL/
参考网址
受影响实体
- Io-Socket-Ssl Io-Socket-Ssl:1.35
补丁
- libio-socket-ssl-perl_1.37.orig
- libio-socket-ssl-perl_1.37-1_all
- libio-socket-ssl-perl_1.37-1.debian
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论