安全研究

安全漏洞
Netscape Communicator SSL不正确检验证书漏洞

发布日期:2000-05-29
更新日期:2000-05-29

受影响系统:
所有低于Netscape Communicator 4.73(包括4.73)的版本
描述:
如果一个攻击者可以伪造或控制特定的DNS信息,Netscape Navigator将允许攻击者冒充一
个合法的Web 站点欺骗合法用户。
在一个Netscape会话中,如果用户在答复"主机名与证书中的名字不一致"的错误提示时点击
了"继续"按钮,那么在这个netscape会话中,就不再正确验证证书了,不管使用这个证书的
服务器是什么主机名和ip。



<* 来源:Kevin E. Fu (fubob@mit.edu)
         CERT Advisory CA-2000-08
*>



建议:
需等候厂商提供补丁。

CERT 安全公告CA-2000-08 中提供了一些临时的解决方法:
http://www.cert.org/advisories/CA-2000-08.html

浏览次数:5955
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障