Perl libwww-perl (LWP)模块SSL证书验证安全策略绕过漏洞 - 服务器安全 - 云顿科技

用户登录

应急响应电话：15916966857 技术支持QQ：278909995 [登录] [注册]

首页漏洞公告项目服务软件产品网络商店客户支持关于我们

云顿给您安全的保障

预警状态 - Leve 2

网络攻击★★★★☆

病毒传播★★★☆☆

浏览器漏洞★☆☆☆☆

第三方软件漏洞★★★☆☆

系统严重漏洞★★★☆☆

Windows Server 2003,Windows Server 2008R2,Linux

首页 >> 漏洞公告 >> 安全漏洞

Perl libwww-perl (LWP)模块SSL证书验证安全策略绕过漏洞

发布日期:2011-5-23
浏览次数:2602

CPAN（Comprehensive Perl Archive Network）中译为“Perl综合典藏网”,“Perl综合档案网”或者“Perl程序库”。它包含了极多用Perl写成的软件和其文件。

Perl libwww-perl (LWP)模块在SSL证书验证上存在安全策略绕过漏洞，远程攻击者可利用此漏洞执行中间人攻击或伪造受信任服务器。

libwww-perl (LWP) 6.00之前版本中的Net::HTTPS模块（也使用在其他产品中，如WWW::Mechanize, LWP::UserAgent）在没有设置If-SSL-Cert-Subject标头的环境下运行时，默认没有启用对SSL证书的完整验证，可使远程攻击者通过没有正确验证主机名的中间人攻击伪造服务器。

<*来源：Aaron （lumpy@musicvision.com）
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

CPAN
----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.cpan.org

欢迎访问我们的站点www.eisafe.com
云顿给您安全的保障
为个人,企业用户提供服务器安全、服务器维护、网站被挂马等服务。