CH azonosító
CH-13529Angol cím
Apache HttpComponents vulnerabilityFelfedezés dátuma
2016.08.28.Súlyosság
KözepesÉrintett rendszerek
Apache Software FoundationHttpComponents HttpClient
Érintett verziók
HttpClient 4.3.5
HttpAsyncClient 4.0.2.
Összefoglaló
Az Apache HttpComponents közepes kockázati besorolású sérülékenysége vált ismertté, melyet kihasználva a támadó közbeékelődéses támadást hajthat végre. A sérülékenységet kiküszöbölő megoldás már beszerezhető a gyártótól.
Leírás
A távoli támadó a sérülékenységet egy speciálisan erre a célra készített SSL szerverrel használhatja ki. Meggyőzheti az áldozatot, hogy telepítse az általa kiadott tanúsítványt és így közbeékelődéses támadást hajthat végre.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
man in the middleHatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: tools.cisco.com
Gyártói referencia: mail-archives.apache.org
CVE-2014-3577 - NVD CVE-2014-3577