GNOME Online Accounts CVE-2013-1799证书检查中间人攻击漏洞

漏洞起因
设计错误
危险等级

影响系统
Gnome Online Accounts (GOA) 3.6.x
Gnome Online Accounts (GOA) 3.7.x

不受影响系统

危害
远程攻击者可以利用漏洞进行中间人攻击获得敏感信息。
CVSSv2:4.3 (AV:N/AC:M/Au:N/C:P/I:N/A:N)

攻击所需条件
攻击者必须访问GNOME在线账户。

漏洞信息
GNOME在线账户(GNOME Online Account)可以与在线账户同步文档、聊天、联系人等等。
在当使用libsoup库创建provider账户时Gnome Online Accounts (GOA)没有执行SSL证书校验,远程攻击者可以利用此缺陷进行中间人攻击,可通过网络嗅探获得敏感信息。此问题是由于不完全修补CVE-2013-0240引起的。

测试方法

厂商解决方案
Gnome Online Accounts 3.6.3和3.7.91已经修复此漏洞,建议用户下载更新:
https://developer.gnome.org/goa/stable

漏洞提供者
Simon McVittie

评论关闭。