CVE-2014-1263 - 漏洞详情

CVE-2014-1263 (CNNVD-201402-454)

MEDIUM

中文标题:

Apple OS X 加密问题漏洞

英文标题:

curl and libcurl 7.27.0 through 7.35.0, when using the SecureTransport/Darwinssl backend, as used in...

CVSS分数: 4.3

发布时间: 2014-02-27 01:00:00

漏洞类型: 加密问题

状态: PUBLISHED

数据质量分数: 0.30

数据版本: v3

漏洞描述

中文描述:

Apple OS X是美国苹果（Apple）公司为Mac计算机所开发的一套专用操作系统。 Apple OS X 10.9.1及之前的版本中存在安全漏洞，该漏洞源于使用curl连接到含有IP地址的HTTPS URL时，该IP地址无法通过证书验证。拥有特权网络地位的攻击者可拦截用户凭证或其他敏感信息。

英文描述:

curl and libcurl 7.27.0 through 7.35.0, when using the SecureTransport/Darwinssl backend, as used in in Apple OS X 10.9.x before 10.9.2, does not verify that the server hostname matches a domain name in the subject's Common Name (CN) or subjectAltName field of the X.509 certificate when accessing a URL that uses a numerical IP address, which allows man-in-the-middle attackers to spoof servers via an arbitrary valid certificate.

CWE类型:

CWE-310

受影响产品

厂商	产品	版本	版本范围	平台	CPE
apple	mac_os_x	*	-	-	`cpe:2.3:o:apple:mac_os_x::::::::`
apple	mac_os_x	10.9	-	-	`cpe:2.3:o:apple:mac_os_x:10.9:::::::*`

解决方案

中文解决方案:

（暂无数据）

英文解决方案:

（暂无数据）

临时解决方案:

（暂无数据）

参考链接

无标题 x_refsource_MISC
cve.org

访问

57836 third-party-advisory
cve.org

访问