Red Hat KDE kdelibs IP地址SSL证书安全绕过漏洞 CVE-2011-1094 CNNVD-201103-219
4.3
AV
AC
AU
C
I
A
发布:
2011-03-16
修订:
2017-08-17
kdelibs是创建在Qt框架之上,它提供框架和众多功能来开发KDE软体的基础库。 kdelibs 4.6.1之前版本的KDE KSSL中的kio/kio/tcpslavebase.cpp没有对服务器主机名称与X.509证书主题域名的匹配进行正确验证。kdelibs代码能接收服务器颁发的指定主机名或主机名所解析的IP地址的证书作为合法证书。中间人攻击者可以通过获得可信CA颁发的指定攻击者控制IP地址的SSL证书,通过接触目标用户DNS解析,欺骗任意SSL服务器,获得敏感信息。
漏洞利用/PoC
当前有3条漏洞利用/PoC
受影响的平台与产品
当前有4条受影响产品信息
