漏洞信息详情
python-httplib2 SSL凭证安全绕过漏洞
- CNNVD编号:CNNVD-201305-065
- 危害等级: 中危
- CVE编号: CVE-2013-2037
- 漏洞类型: 输入验证
- 发布时间: 2012-02-27
- 威胁类型: 远程
- 更新时间: 2014-01-22
- 厂 商: canonical
- 漏洞来源:
漏洞简介
httplib2 0.7.2及之前的版本和0.8及之前的版本中存在安全漏洞,该漏洞源于程序在完成初始化连接后,没有验证主题的Common Name或X.509证书的中subjectAltname字段的域名是否与服务器主机名匹配。攻击者可借助任意有效的证书利用该漏洞实施中间人攻击,欺骗SSL服务器。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://code.Google.com/p/httplib2/issues/detail?id=282
参考网址
来源: bugs.launchpad.net
链接:https://bugs.launchpad.net/httplib2/+bug/1175272
来源: UBUNTU
名称: USN-1948-1
链接:http://www.ubuntu.com/usn/USN-1948-1
来源: MLIST
名称: [oss-security] 20130501 Re: CVE Request: httplib2 ssl cert incorrect error handling
链接:http://seclists.org/oss-sec/2013/q2/257
来源: code.Google.com
链接:http://code.Google.com/p/httplib2/issues/detail?id=282
来源: bugs.debian.org
链接:http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=706602
来源: BID
名称: 52179
链接:http://www.securityfocus.com/bid/52179
受影响实体
- Canonical Ubuntu_linux:10.04:-:Lts
- Httplib2_project Httplib2:0.7.2
- Httplib2_project Httplib2:0.8
补丁
- ssl_hostname
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论