正文

中间漏洞的TLS人

admin
admin V管理员 /0 评论 /12 阅读
0423
此篇文章发布距今已超过1102天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2019-0223

利用情况

暂无

补丁情况

官方补丁

披露时间

2019-04-24
漏洞描述
在调查bug PROTON-2014时,我们发现在某些情况下,Apache Qpid Proton版本0.9到0.27.0(C库及其语言绑定)可以使用TLS *匿名连接到对等体,即使配置为在使用时验证对等证书*使用1.1.0之前的OpenSSL版本。这意味着如果攻击者可以安排拦截TLS流量,则可以构建中间攻击中未被发现的人。<br>
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
http://www.openwall.com/lists/oss-security/2019/04/23/4
http://www.securityfocus.com/bid/108044
https://access.redhat.com/errata/RHSA-2019:0886
https://access.redhat.com/errata/RHSA-2019:1398
https://access.redhat.com/errata/RHSA-2019:1399
https://access.redhat.com/errata/RHSA-2019:1400
https://access.redhat.com/errata/RHSA-2019:2777
https://access.redhat.com/errata/RHSA-2019:2778
https://access.redhat.com/errata/RHSA-2019:2779
https://access.redhat.com/errata/RHSA-2019:2780
https://access.redhat.com/errata/RHSA-2019:2781
https://access.redhat.com/errata/RHSA-2019:2782
https://issues.apache.org/jira/browse/PROTON-2014?page=com.atlassian.jira.plu...
https://lists.apache.org/thread.html/008ee5e78e5a090e1fcc5f6617f425e4e51d59f0...
https://lists.apache.org/thread.html/3adb2f020f705b4fd453982992a68cd10f9d5ac7...
https://lists.apache.org/thread.html/49c83f0acce5ceaeffca51714ec2ba0f0199bcb8...
https://lists.apache.org/thread.html/914424e4d798a340f523b6169aaf39b626971d9b...
https://lists.apache.org/thread.html/d9c9a882a292e2defaed1f954528c916fb64497c...
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 apache qpid * From
(including)
0.9 		Up to
(including)
0.27.0
运行在以下环境
应用 redhat jboss_amq_clients_2 - -
运行在以下环境
系统 centos_8 qpid-proton * Up to
(excluding)
0.28.0-1.el8
运行在以下环境
系统 debian_9 qpid-proton * Up to
(excluding)
0.14.0-5
运行在以下环境
系统 redhat_8 qpid-proton * Up to
(excluding)
0.28.0-1.el8
阿里云评分 2.7
  • 攻击路径 远程
  • 攻击复杂度 困难
  • 权限要求 无需权限
  • 影响范围 有限影响
  • EXP成熟度 未验证
  • 补丁情况 官方补丁
  • 数据保密性 无影响
  • 数据完整性 无影响
  • 服务器危害 无影响
  • 全网数量 100
CWE-ID 漏洞类型 CWE-295 证书验证不恰当