Apache Libcloud 中间人信息泄露漏洞

漏洞信息详情

Apache Libcloud 中间人信息泄露漏洞

• CNNVD编号：CNNVD-201207-663
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2012-3446
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2012-08-07
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-11-05
  
• 厂        商：
  
  apache
• 漏洞来源：
  Martin Georgiev, S…

Libcloud是美国阿帕奇（Apache）软件基金会的一个Python库，它为各个云供应商的专有API提供了厂商中立的接口。

Apache Libcloud 0.11.1之前版本中存在漏洞，该漏洞源于在主题的Common Name (CN)或subjectAltName字段的X.509证书中服务器主机名是否匹配域名验证期间，使用错误的正则表达式。中间人攻击者利用该漏洞通过特制的证书欺骗SSL服务器。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：
https://svn.apache.org/repos/asf/libcloud/trunk/CHANGES

来源: svn.apache.org

链接:https://svn.apache.org/repos/asf/libcloud/trunk/CHANGES

来源: www.cs.utexas.edu

链接:http://www.cs.utexas.edu/~shmat/shmat_ccs12.pdf

来源:SECUNIA

名称:50148

链接:http://secunia.com/advisories/50148

来源: BID

名称: 54798

链接:http://www.securityfocus.com/bid/54798