BUGTRAQ ID: 32232
CVE(CAN) ID: CVE-2008-4989
GnuTLS是用于实现TLS加密协议的函数库。
GNU TLS库的X.509证书链验证中存在错误,允许中间人用户使用任意名称并诱骗GNU TLS客户端信任该名称。
漏洞具体存在于x509/verify.c文件的_gnutls_x509_verify_certificate函数中:
1. 用可信任证书列表验证证书列表的最后一个单元。
2. 如果是自签名的话,从列表中删除最后一个单元。
3. 检查证书链确保每个证书都由后一个签名,除了最后一个单元。
如果向列表中添加任意的自签名可信任证书,就不会检查可信任证书列表便信任倒数第二个单元。
0
GNU GnuTLS < 2.6.1
GNU
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
<a href=http://ftp.gnu.org/pub/gnu/gnutls/gnutls-2.6.1.tar.bz2 target=_blank>http://ftp.gnu.org/pub/gnu/gnutls/gnutls-2.6.1.tar.bz2</a>
京公网安备 11010502034610号
暂无评论