pyOpenSSL SSL客户端证书验证安全绕过漏洞

发布日期:2013-09-06
更新日期:2013-09-10

受影响系统:
pyOpenSSL pyOpenSSL < 0.13.1
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 62258

pyOpenSSL是OpenSSL库的Python接口。

pyOpenSSL模块0.13.1之前版本没有正确处理证书主机名内是否包含空字节,subjectAltName X509Extension实例的字符串格式在遇到空字节时错误的截断了名称字段,远程攻击者可利用此漏洞执行中间人攻击或冒充受信任服务器。

<*来源:Vincent Danen
 
  链接:https://bugzilla.redhat.com/show_bug.cgi?id=1005325
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

pyOpenSSL
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/7f9cff199cc78e70610bd183f2d1e2c2.html