PayPal Payments Standard PHP Library CVE-2012-5789证书校验中间人攻击漏洞

漏洞起因
设计错误
危险等级

影响系统
PayPal Payments Standard PHP Library 20120427

不受影响系统

危害
远程攻击者可以利用漏洞进行欺骗伪造攻击。

攻击所需条件
攻击者必须访问PayPal Payments Standard PHP Library。

漏洞信息
PayPal Payments Standard PHP Library是一款PayPal的付款标准PHP库。
PayPal Payments Standard PHP Library没有正确校验主机名是否与CN中的域名或X.509证书subjectAltName字段的域名匹配,允许攻击者通过任意合法证书进行中间人攻击,欺骗SSL服务器。漏洞与通过”FALSE”值禁用证书校验检查有关。

测试方法

厂商解决方案
目前没有详细解决方案提供:
https://www.paypal.com

漏洞提供者
Martin & Subodh Iyengar & Suman Jana & Rishita Anubhai & Dan Boneh & Vitaly Shmatikov

评论关闭。