CVE编号
CVE-2009-3767利用情况
暂无补丁情况
官方补丁披露时间
2009-10-24漏洞描述
OpenLDAP 2.2和2.4中的libraries / libldap / tls_o.c,以及可能的其他版本,当使用OpenSSL时,不能正确处理 X.509 certificate的主题公共名称(CN)字段中的域名中的'\ 0'字符。 这允许中间人攻击者通过合法证书颁发机构颁发的制作证书来欺骗任意SSL服务器,这是与CVE-2009-2408相关的问题。解决建议
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:http://www.openldap.org/devel/cvsweb.cgi/libraries/libldap/tls_o.c.diff?r1=1.8&r2=1.11&f=h
参考链接 |
|
|---|---|
| http://lists.apple.com/archives/security-announce/2009/Nov/msg00000.html | |
| http://lists.fedoraproject.org/pipermail/package-announce/2010-March/036138.html | |
| http://lists.opensuse.org/opensuse-security-announce/2009-10/msg00001.html | |
| http://marc.info/?l=oss-security&m=125198917018936&w=2 | |
| http://marc.info/?l=oss-security&m=125369675820512&w=2 | |
| http://secunia.com/advisories/38769 | |
| http://secunia.com/advisories/40677 | |
| http://security.gentoo.org/glsa/glsa-201406-36.xml | |
| http://support.apple.com/kb/HT3937 | |
| http://www.openldap.org/devel/cvsweb.cgi/libraries/libldap/tls_o.c.diff?r1=1.... | |
| http://www.redhat.com/support/errata/RHSA-2010-0543.html | |
| http://www.redhat.com/support/errata/RHSA-2011-0896.html | |
| http://www.vupen.com/english/advisories/2009/3056 | |
| http://www.vupen.com/english/advisories/2010/1858 | |
| https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.ova... | |
| https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.ova... |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | openldap | openldap | * |
Up to (excluding) 2.4.18 |
|||||
| 运行在以下环境 | |||||||||
| 应用 | openssl | openssl | * | - | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_5.0 | openldap | * |
Up to (excluding) 2.4.11-1+lenny1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | oracle_5 | openldap | * |
Up to (excluding) 2.3.43-12.el5 |
|||||
- 攻击路径 远程
- 攻击复杂度 复杂
- 权限要求 无需权限
- 影响范围 全局影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
还没有评论,来说两句吧...