Apache Subversion SSL证书验证信息泄漏漏洞(CVE-2014-3522)
发布日期:2014-08-14
更新日期:2014-08-15
受影响系统:
Apache Group Subversion 1.8.0-1.8.9
Apache Group Subversion 1.4.0-1.7.17
不受影响系统:
Apache Group Subversion 1.8.10
Apache Group Subversion 1.7.18
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 69237
CVE(CAN) ID: CVE-2014-3522
Subversion是一款开源多用户版本控制系统,支持非ASCII文本和二进制数据。
Apache Subversion的Serf RA层错误验证了包含通配符的SSL证书,远程攻击者可利用此漏洞进行中间人攻击,以查看敏感信息或更改加密通讯。
<*来源:Ben Reser
链接:http://subversion.apache.org/security/CVE-2014-3522-advisory.txt
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Apache Group
------------
Apache Group已经为此发布了一个安全公告(CVE-2014-3522-advisory)以及相应补丁:
CVE-2014-3522-advisory:Subversion's Serf RA layer does not correctly validate certificates with wildcards in them for HTTPS.
链接:http://subversion.apache.org/security/CVE-2014-3522-advisory.txt