Apple Mac OS X OpenSSL证书验证安全限制绕过漏洞(CV

发布日期:2014-03-03
更新日期:2014-03-12

受影响系统:
Apple Mac OS X <= 10.9.2
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 65989
CVE(CAN) ID: CVE-2014-2234

OS X(前称Mac OS X)是苹果公司为麦金塔电脑开发的专属操作系统的最新版本。

Apple OS X 10.9.2及更早版本的某个针对OpenSSl的Apple补丁使用了“信任评估代理”TEA功能,而没有终止SSL_CTX_set_verify回调函数文档内指定的TLS、SSL握手,这可使远程攻击者通过TEA可以接受、但应用无法接受的证书链,利用该漏洞绕过自定义应用内的其他验证。

<*来源:Hynek Schlawack
 
  链接:https://hynek.me/articles/apple-openssl-verification-surprises/
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

Apple
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/55d362eacbe0792e974245f2a9381293.html