漏洞信息详情

pyOpenSSL SSL客户端证书验证安全绕过漏洞

• CNNVD编号：CNNVD-201309-055
• 危害等级： 中危
  
• CVE编号： CVE-2013-4314
• 漏洞类型： 输入验证错误
• 发布时间： 2013-09-09
• 威胁类型： 远程
• 更新时间： 2022-02-18
• 厂        商： canonical
• 漏洞来源： Vincent Danen

漏洞简介

Python是Python软件基金会的一套开源的、面向对象的程序设计语言。pyOpenSSL是其中的一个OpenSSL接口。

pyOpenSSL 0.13之前版本中的X509Extension类中存在漏洞，该漏洞源于程序没有正确地处理X.509证书的Subject Alternative Name字段中域名中的‘’字符。中间人攻击者可借助由合法证书颁发机构所发布的特制证书，利用该漏洞欺骗任意SSL服务器。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://mail.python.org/pipermail/pyopenssl-users/2013-September/000478.HTML

参考网址

来源:www.auscert.org.au

链接:https://www.auscert.org.au/bulletins/ESB-2022.0696

受影响实体

• Canonical Ubuntu_linux:13.04  

补丁

• pyOpenSSL SSL客户端证书验证安全绕过漏洞的修复措施