eBay Payflow SDK SSL证书验证安全绕过漏洞
发布日期:2012-11-08
更新日期:2012-11-11
受影响系统:
eBay Payflow SDK
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 56446
CVE ID: CVE-2012-5789
eBay Payflow SDK是在线支付解决方案。
PayPal Payments Standard PHP 库20120427之前版本没有正确验证服务器主机名是否匹配X.509证书的CN或subjectAltName字段的域名,通过任意有效的证书,用"FALSE"值故意禁用证书验证检查,成功利用后可允许攻击者执行中间人攻击,欺骗SSL服务器。
<*来源:ACM CCS 2012
链接:http://www.cs.utexas.edu/~shmat/shmat_ccs12.pdf
http://secunia.com/advisories/51192/
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
eBay
----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
www.ebay.com
相关推荐
doctorvian 2020-01-07
xiaouncle 2013-05-04
jiangjianisswhu 2011-11-25
麦田开拓者 2010-07-30
huangliang00 2015-12-22
jsjbkshz0 2010-11-05
xcjing 2013-07-17
goods0 2014-06-29
AMEPRE 2011-01-26
minerd 2015-12-21
allenwangpower 2015-12-21
zhlive 2019-03-29
guojianncu 2017-08-16
xumesang 2017-08-15
MusicPeng 2018-09-11
Amberamber 2018-09-17
huangyanli00 2014-12-29
CodeAsWind 2014-12-29