Apache Subversion SSL证书验证信息泄漏漏洞(CVE-2014-3522)

发布日期:2014-08-14
更新日期:2014-08-15

受影响系统:
Apache Group Subversion 1.8.0-1.8.9
 Apache Group Subversion 1.4.0-1.7.17
不受影响系统:
Apache Group Subversion 1.8.10
 Apache Group Subversion 1.7.18
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 69237
 CVE(CAN) ID: CVE-2014-3522
 
Subversion是一款开源多用户版本控制系统,支持非ASCII文本和二进制数据。
 
Apache Subversion的Serf RA层错误验证了包含通配符的SSL证书,远程攻击者可利用此漏洞进行中间人攻击,以查看敏感信息或更改加密通讯。
 
<*来源:Ben Reser
 
  链接:http://subversion.apache.org/security/CVE-2014-3522-advisory.txt
 *>

建议:
--------------------------------------------------------------------------------
厂商补丁:
 
Apache Group
 ------------
 Apache Group已经为此发布了一个安全公告(CVE-2014-3522-advisory)以及相应补丁:
 CVE-2014-3522-advisory:Subversion's Serf RA layer does not correctly validate certificates  with wildcards in them for HTTPS.
 链接:http://subversion.apache.org/security/CVE-2014-3522-advisory.txt

相关推荐