Apache Commons HttpClient SSL证书验证安全绕过漏洞

发布日期:2012-10-16
更新日期:2013-02-24

受影响系统:
Apache Group Commons HttpClient 3.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 58073
 CVE(CAN) ID: CVE-2012-5783
 
HttpClient 是 Apache Jakarta Common 下的子项目,可以用来提供高效的、最新的、功能丰富的支持 HTTP 协议的客户端编程工具包,并且它支持 HTTP 协议最新的版本和建议。
 
Amazon Flexible Payments Service (FPS) merchant Java SDK产品使用的Apache Commons HttpClient没有正确校验主机名是否与CN中的域名或X.509证书subjectAltName字段的域名匹配,允许攻击者通过任意合法证书进行中间人攻击,欺骗SSL服务器。
 
<*来源:Martin Georgiev
        Subodh Iyengar
        Suman Jana
        Rishita Anubhai
        Dan Boneh
        Vitaly Shmatikov
  *>

建议:
--------------------------------------------------------------------------------
厂商补丁:
 
Apache Group
 ------------
 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
 
http://hc.apache.org/httpclient-3.x/

相关推荐