发布日期:2012-10-16
更新日期:2013-02-24受影响系统:
Apache Group Commons HttpClient 3.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 58073
CVE(CAN) ID: CVE-2012-5783
HttpClient 是 Apache Jakarta Common 下的子项目,可以用来提供高效的、最新的、功能丰富的支持 HTTP 协议的客户端编程工具包,并且它支持 HTTP 协议最新的版本和建议。
Amazon Flexible Payments Service (FPS) merchant Java SDK产品使用的Apache Commons HttpClient没有正确校验主机名是否与CN中的域名或X.509证书subjectAltName字段的域名匹配,允许攻击者通过任意合法证书进行中间人攻击,欺骗SSL服务器。
<*来源:Martin Georgiev
Subodh Iyengar
Suman Jana
Rishita Anubhai
Dan Boneh
Vitaly Shmatikov
*>建议:
--------------------------------------------------------------------------------
厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://hc.apache.org/httpclient-3.x/Linux Kernel空指针引用拒绝服务漏洞Alt-N MDaemon 电子邮件主题HTML注入漏洞相关资讯 HttpClient HttpClient安全漏洞
- HttpClient 使用 (今 09:31)
- HttpClient4.3 关于https 中SSL证 (04月11日)
- C#中HttpClient使用注意:预热与长 (07/08/2015 08:15:52)
| - Java语言使用HttpClient模拟浏览器 (05月10日)
- 使用HttpClient进行远程接口测试 (01月21日)
- HttpClient4 用法 由HttpClient3 (06/20/2015 07:37:13)
|
本文评论 查看全部评论 (0)
易网时代-编程资源站