Рекомендация Debian по безопасности

DLA-222-1 commons-httpclient -- обновление безопасности LTS

Дата сообщения:
19.05.2015
Затронутые пакеты:
commons-httpclient
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2012-5783, CVE-2012-6153, CVE-2014-3577.
Более подробная информация:
  • CVE-2012-5783

    и CVE-2012-6153 Apache Commons HttpClient 3.1 не выполняет проверку того, что имя сервера совпадает с именем домена в поле Common Name (CN) или subjectAltName сертификата X.509, что позволяет злоумышленникам выполнять атаку по принципу человек-в-середине для подделки SSL серверов с помощью произвольного корректного сертификата. Выражаем благодарность Алберто Фернандезу Мартинезу за эту заплату.

  • CVE-2014-3577

    Было обнаружено, что исправление CVE-2012-6153 неполно: код, добавленный для проверки того, что имя сервера совпадает с именем домена в поле Common Name (CN) сертификатов X.509, оказался уязвим. Злоумышленник, используя принцип человек-в-середине, может использовать эту уязвимость для подделки SSL сервера, используя специально сформированный сертификат X.509. Исправление для CVE-2012-6153 должно было исправить неполную заплату для CVE-2012-5783. Данная проблема теперь полностью решена путём применения указанной заплаты и заплаты для предыдущей проблемы CVE.

Данная загрузка была подготовлена Маркусом Кошани.