Async Http Client欺骗漏洞(CVE-2013-7398)
Async Http Client欺骗漏洞(CVE-2013-7398)
Async Http Client欺骗漏洞(CVE-2013-7398)
发布日期:2015-06-25
更新日期:2015-06-25
受影响系统:
AsyncHttpClient AsyncHttpClient < 1.9.0
描述:
CVE(CAN) ID: CVE-2013-7398
Async Http Client是异步HTTP及WebSocket客户端Java库。
Async Http Client 1.9.0之前版本,main/java/com/ning/http/client/AsyncHttpClientConfig.java没有要求X.509证书验证时主机名匹配,中间人攻击者通过任意有效的证书,利用此漏洞可欺骗HTTPS服务器。
<*来源:losar
*>
建议:
厂商补丁:
AsyncHttpClient
---------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://github.com/AsyncHttpClient/async-http-client
https://github.com/AsyncHttpClient/async-http-client/issues/197
本文永久更新链接地址:
评论暂时关闭