漏洞信息详情

GNOME Online Accounts SSL证书验证安全绕过漏洞

• CNNVD编号：CNNVD-201304-013
• 危害等级： 中危
  
• CVE编号： CVE-2013-1799
• 漏洞类型： 加密问题
• 发布时间： 2013-03-04
• 威胁类型： 远程
• 更新时间： 2013-04-03
• 厂        商： canonical
• 漏洞来源： Simon McVittie

漏洞简介

GNOME是Helix Code公司开发的用于Unix/Linux的桌面环境，它含有一个组件 updater，自动下载其他组件的新版本并安装之。

Gnome Online Accounts (GOA) 3.6.3之前的3.6.x版本和3.7.91之前的3.7.x版本中存在漏洞，该漏洞源于为使用libsoup库的供应商创建账户时，程序没有正确验证SSL证书。通过嗅探网络，中间人攻击者利用该漏洞获得敏感信息如证书。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.ubuntu.com/usn/usn-1779-1/

参考网址

来源: MLIST

名称: [gnome-announce-list] 20130305 GNOME Online Accounts 3.7.91 released

链接:https://mail.gnome.org/archives/gnome-announce-list/2013-March/msg00020.HTML

来源: MLIST

名称: [gnome-announce-list] 20130304 GNOME Online Accounts 3.6.3 released

链接:https://mail.gnome.org/archives/gnome-announce-list/2013-March/msg00007.HTML

来源: git.gnome.org

链接:https://git.gnome.org/browse/gnome-online-accounts/commit/?id=9cf4bc0ced2c53bcdd36922caa65afc8a167bbd8

来源: bugzilla.gnome.org

链接:https://bugzilla.gnome.org/show_bug.cgi?id=695106

来源: bugzilla.gnome.org

链接:https://bugzilla.gnome.org/show_bug.cgi?id=693214

来源: UBUNTU

名称: USN-1779-1

链接:http://ubuntu.com/usn/usn-1779-1

来源: SECUNIA

名称: 52791

链接:http://secunia.com/advisories/52791

来源: SECUNIA

名称: 51976

链接:http://secunia.com/advisories/51976

来源: SUSE

名称: openSUSE-SU-2013:0301

链接:http://lists.opensuse.org/opensuse-updates/2013-02/msg00046.HTML

来源: BID

名称: 58787

链接:http://www.securityfocus.com/bid/58787

受影响实体

• Canonical Ubuntu_linux:11.10  
• Canonical Ubuntu_linux:12.04:-:Lts  
• Canonical Ubuntu_linux:12.10  

补丁

• gnome-online-accounts-3.7.91
• gnome-online-accounts-3.6.3