python-httplib2 SSL凭证安全绕过漏洞 | KnowSafe漏洞情报平台

基本信息

漏洞ID：1173914
漏洞类型：输入验证
发布日期：2012-02-27
更新时间：2015-12-07
CVE编号： CVE-2013-2037
CNNVD-ID：CNNVD-201305-065
漏洞平台： N/A
CVSS评分：2.6

漏洞来源

<a href="https://www.securityfocus.com/bid/52179" target="_blank">https://www.securityfocus.com/bid/52179</a><br/> <a href="http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201305-065" target="_blank">http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201305-065</a><br/>

漏洞详情

httplib20.7.2及之前的版本和0.8及之前的版本中存在安全漏洞，该漏洞源于程序在完成初始化连接后，没有验证主题的CommonName或X.509证书的中subjectAltname字段的域名是否与服务器主机名匹配。攻击者可借助任意有效的证书利用该漏洞实施中间人攻击，欺骗SSL服务器。

参考资料

来源:bugs.launchpad.net
链接:https://bugs.launchpad.net/httplib2/+bug/1175272
来源:UBUNTU
名称:USN-1948-1
链接:http://www.ubuntu.com/usn/USN-1948-1
来源:MLIST
名称:[oss-security]20130501Re:CVERequest:httplib2sslcertincorrecterrorhandling
链接:http://seclists.org/oss-sec/2013/q2/257
来源:code.google.com
链接:http://code.google.com/p/httplib2/issues/detail?id=282
来源:bugs.debian.org
链接:http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=706602
来源:BID
名称:52179
链接:http://www.securityfocus.com/bid/52179