漏洞信息详情

python-httplib2 SSL凭证安全绕过漏洞

• CNNVD编号：CNNVD-201305-065
• 危害等级： 中危
  
• CVE编号： CVE-2013-2037
• 漏洞类型： 输入验证
• 发布时间： 2012-02-27
• 威胁类型： 远程
• 更新时间： 2014-01-22
• 厂        商： canonical
• 漏洞来源：

漏洞简介

httplib2 0.7.2及之前的版本和0.8及之前的版本中存在安全漏洞，该漏洞源于程序在完成初始化连接后，没有验证主题的Common Name或X.509证书的中subjectAltname字段的域名是否与服务器主机名匹配。攻击者可借助任意有效的证书利用该漏洞实施中间人攻击，欺骗SSL服务器。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://code.Google.com/p/httplib2/issues/detail?id=282

参考网址

来源: bugs.launchpad.net

链接:https://bugs.launchpad.net/httplib2/+bug/1175272

来源: UBUNTU

名称: USN-1948-1

链接:http://www.ubuntu.com/usn/USN-1948-1

来源: MLIST

名称: [oss-security] 20130501 Re: CVE Request: httplib2 ssl cert incorrect error handling

链接:http://seclists.org/oss-sec/2013/q2/257

来源: code.Google.com

链接:http://code.Google.com/p/httplib2/issues/detail?id=282

来源: bugs.debian.org

链接:http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=706602

来源: BID

名称: 52179

链接:http://www.securityfocus.com/bid/52179

受影响实体

• Canonical Ubuntu_linux:10.04:-:Lts  
• Httplib2_project Httplib2:0.7.2  
• Httplib2_project Httplib2:0.8  

补丁

• ssl_hostname