Async Http Client 欺骗漏洞 (CVE-2013-7397)

安全漏洞
15年6月30日
编辑

aqzt

释放双眼，带上耳机，听听看~！

文章转载开源中国

发布日期：2015-06-25
更新日期：2015-06-25

受影响系统：

AsyncHttpClient AsyncHttpClient < 1.9.0

描述：

CVE(CAN) ID: CVE-2013-7397

Async Http Client是异步HTTP及WebSocket客户端Java库。

Async Http Client 1.9.0之前版本，会跳过了X.509证书验证，除非keyStore位置及trustStore位置均显式设置。中间人攻击者在使用典型AHC配置中显示任意证书，即可欺骗HTTP服务器。

<*来源：losar
*>

建议：

厂商补丁：

AsyncHttpClient
—————
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://github.com/AsyncHttpClient/async-http-client

https://github.com/AsyncHttpClient/async-http-client/issues/352

https://github.com/AsyncHttpClient/async-http-client/issues/197

给TA打赏

共{{data.count}}人

人已打赏

[db:标签]安全安全问题攻击服务器

PHP 5.2.17&5.3.29 远程DOS漏洞UPUPW修复版

2015-6-8 11:12:22

网易邮箱惊现致命漏洞，似邮箱过亿数据泄漏

2015-10-19 11:12:22

❯

解锁会员权限

个人中心

购物车

优惠劵

今日签到

有新私信私信列表

搜索

幸运之星正在降临...

点击领取今天的签到奖励！

恭喜！您今天获得了{{mission.data.mission.credit}}积分

今日签到

连续签到

{{item.credit}}

连续{{item.count}}天

查看所有

我的优惠劵

_￥_优惠劵

使用时效：无法使用

使用时效：
之前

使用时效：永久有效

优惠劵ID：
×

限制以下商品使用：限制以下商品分类使用：不限制使用：

[{{ct.name}}]

所有商品和商品类型均可使用

没有优惠劵可用!

购物车

×

删除

购物车空空如也!

清空购物车前往结算

您有新的私信

没有新私信

写新私信查看全部