Security Lab

KDE Konqueror Embedded не в состоянии, в нектороых случаях, подтвердить подлинность SSL сертификатов

Дата публикации:06.06.2003
Всего просмотров:1281
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Уязвимость обнаружена в KDE Konqueror. Программное обеспечение не проверяет имя хоста в SSL сертификатах.

Сообщается, что KDE SSL выполнение в KDE Konqueror Embedded проверяет сертификаты, основанных на IP адресе, но не проверяет, соответствует ли Common Name имени хоста. Удаленный пользователь может подделать безопасный Web сервер или выполнить SSL man-in-the-middle нападение таким образом, что его не сможет обнаружить KDE Konqueror Embedded.

Патчи можно скачать отсюда: ftp://ftp.kde.org/pub/kde/security_patches 

4c252809dec8be73bbe55367350c27ca post-2.2.2-kdelibs-kssl-2.diff 

441afec72fab406f8c1cd7d6b839b3e0 post-2.2.2-kdelibs-kio-2.diff

Уязвимость обнаружена в KDE 2.2.2 и более ранние версии

Ссылки: KDE 2.2 / Konqueror Embedded SSL vulnerability