漏洞信息详情

Gentoo Portage‘urlopen()’加密问题漏洞

• CNNVD编号：CNNVD-201305-304
• 危害等级： 中危
  
• CVE编号： CVE-2013-2100
• 漏洞类型： 加密问题
• 发布时间： 2013-05-17
• 威胁类型： 远程
• 更新时间： 2014-10-08
• 厂        商： gentoo
• 漏洞来源： Jason A. Donenfeld

漏洞简介

Portage是Gentoo基金会的一款Gentoo Linux操作系统所使用的基于ports collection机制的包管理器。

Gentoo Portage 2.1.12版本的pym/portage/util/_urlopen.py文件中的‘urlopen’函数中存在安全漏洞，该漏洞源于程序使用HTTPS时，没有验证SSL服务器端的X.509证书。攻击者可通过特制的证书利用该漏洞实施中间人攻击，伪造数据欺骗服务器，修改二进制数据包列表。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://bugs.gentoo.org/show_bug.cgi?id=469888

参考网址

来源:MLIST

链接:http://openwall.com/lists/oss-security/2013/05/15/5

来源:bugs.gentoo.org

链接:https://bugs.gentoo.org/show_bug.cgi?id=469888

来源:BID

链接:http://www.securityfocus.com/bid/59878

来源:MLIST

链接:http://openwall.com/lists/oss-security/2013/05/16/3

来源:XF

链接:http://xforce.iss.net/xforce/xfdb/84315

受影响实体

• Gentoo Portage:2.1.12  

补丁

• 54259007c1cb4ba0d41a19f6cb32e923c29b8b74..b5969af9f575e4e4b669f44e76ad01f0dbc2dd27