漏洞信息详情
Globus MyProxy证书验证安全绕过漏洞
- CNNVD编号:CNNVD-201102-023
- 危害等级: 中危
- CVE编号: CVE-2011-0738
- 漏洞类型: 输入验证
- 发布时间: 2011-02-09
- 威胁类型: 远程
- 更新时间: 2011-02-10
- 厂 商: ncsa
- 漏洞来源: Venkat Yekkirala (...
漏洞简介
MyProxy 是一个网络浏览辅助软件。
在Globus Toolkit 5.0.0至5.0.2版本中使用的MyProxy 5.0至5.2版本没有正确验证发布给myproxy-server的X.509证书中的(1)hostname或者(2)identity。远程攻击者可以在执行(a)myproxy-logon或者(b)myproxy-get-delegation时,借助特制证书欺骗服务器并进行中间人(MITM)攻击。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://lists.globus.org/pipermail/security-announce/2011-January/000018.HTML
参考网址
来源: MLIST 名称: [security-announce] 20110118 Globus Security Advisory 2011-01: myproxy-logon identity checking of server 链接:http://lists.globus.org/pipermail/security-announce/2011-January/000018.HTML 来源: XF 名称: myproxy-ssl-spoofing(64830) 链接:http://xforce.iss.net/xforce/xfdb/64830 来源: BID 名称: 45916 链接:http://www.securityfocus.com/bid/45916 来源: SECUNIA 名称: 43103 链接:http://secunia.com/advisories/43103 来源: SECUNIA 名称: 42972 链接:http://secunia.com/advisories/42972 来源: OSVDB 名称: 70494 链接:http://osvdb.org/70494 来源: FEDORA 名称: FEDORA-2011-0512 链接:http://lists.fedoraproject.org/pipermail/package-announce/2011-January/053473.HTML 来源: FEDORA 名称: FEDORA-2011-0514 链接:http://lists.fedoraproject.org/pipermail/package-announce/2011-January/053461.HTML 来源: grid.ncsa.illinois.edu 链接:http://grid.ncsa.illinois.edu/myproxy/security/myproxy-adv-2011-01.txt
受影响实体
- Ncsa Myproxy:5.2
- Ncsa Myproxy:5.1
- Ncsa Myproxy:5.0
补丁
- myproxy-5.3
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论