漏洞起因
设计错误
危险等级
中
影响系统
Gnome Online Accounts (GOA) 3.6.x
Gnome Online Accounts (GOA) 3.7.x
不受影响系统
危害
远程攻击者可以利用漏洞进行中间人攻击获得敏感信息。
CVSSv2:4.3 (AV:N/AC:M/Au:N/C:P/I:N/A:N)
攻击所需条件
攻击者必须访问GNOME在线账户。
漏洞信息
GNOME在线账户(GNOME Online Account)可以与在线账户同步文档、聊天、联系人等等。
在当使用libsoup库创建provider账户时Gnome Online Accounts (GOA)没有执行SSL证书校验,远程攻击者可以利用此缺陷进行中间人攻击,可通过网络嗅探获得敏感信息。此问题是由于不完全修补CVE-2013-0240引起的。
测试方法
厂商解决方案
Gnome Online Accounts 3.6.3和3.7.91已经修复此漏洞,建议用户下载更新:
https://developer.gnome.org/goa/stable
漏洞提供者
Simon McVittie
评论关闭。