KDE KSSL NULL字符CA SSL证书验证安全绕过漏洞

漏洞起因
设计错误
 
影响系统
KDE 3.5.4
 
不受影响系统
 
危害
远程攻击者可以利用漏洞进行伪造欺骗攻击获得敏感信息。
 
攻击所需条件
攻击者必须访问KSSL应用程序。
 
漏洞信息
KDE是一款UNIX工下开源图形桌面环境。
KDE KSSL在处理那些主题可选名(Subject Alternative Name)包含Null(‘\0’)字符的证书时存在错误,攻击者可以利用漏洞伪造恶意SSL证书,并替代合法证书进行中间人攻击。
 
测试方法
 
厂商解决方案
用户可联系供应商获得升级程序:
http://kde.org/
 
漏洞提供者
Dan Kaminsky and Moxie Marlinspike

发表评论?

0 条评论。

发表评论