Информационная безопасность
[RU] switch to English


Подмена сертификатов в cURL
дополнено с 26 ноября 2013 г.
Опубликовано:23 декабря 2013 г.
Источник:
SecurityVulns ID:13420
Тип:библиотека
Уровень опасности:
4/10
Описание:При включенном CURLOPT_SSL_VERIFYPEER не проверяется так же имя хоста.
Затронутые продукты:CURL : cURL 7.32
CVE:CVE-2013-6422 (The GnuTLS backend in libcurl 7.21.4 through 7.33.0, when disabling digital signature verification (CURLOPT_SSL_VERIFYPEER), also disables the CURLOPT_SSL_VERIFYHOST check for CN or SAN host name fields, which makes it easier for remote attackers to spoof servers and conduct man-in-the-middle (MITM) attacks.)
 CVE-2013-4545 (cURL and libcurl 7.18.0 through 7.32.0, when built with OpenSSL, disables the certificate CN and SAN name field verification (CURLOPT_SSL_VERIFYHOST) when the digital signature verification (CURLOPT_SSL_VERIFYPEER) is disabled, which allows man-in-the-middle attackers to spoof SSL servers via an arbitrary valid certificate.)
Оригинальный текстdocumentUBUNTU, [USN-2058-1] curl vulnerability (23.12.2013)
 documentMANDRIVA, [ MDVSA-2013:276 ] curl (26.11.2013)

О сайте | Условия использования
© SecurityVulns, 3APA3A, Владимир Дубровин
Нижний Новгород