Amazon Linux AMI : jakarta-commons-httpclient (ALAS-2014-410)

medium Nessus Plugin ID 78353

Synopsis

遠端 Amazon Linux AMI 主機缺少一個安全性更新。

描述

Apache Commons HttpClient 3.x,如在 Amazon Flexible Payments Service (FPS) merchant Java SDK 和其他產品中所使用,未驗證伺服器主機名稱是否與主體之共用名稱 (CN) 中的網域名稱或 X.509 憑證的 subjectAltName 欄位相符,進而允許攔截式攻擊者透過任意有效憑證偽造 SSL 伺服器。

據發現,CVE-2012-6153 的修正不完整:新增的程式碼具有瑕疵,該程式碼用於檢查伺服器主機名稱是否與 X.509 憑證主體之共用名稱 (CN) 欄位中的網域名稱相符。攔截式攻擊者可利用此瑕疵,使用特製的 X.509 憑證偽造 SSL 伺服器。

據發現,CVE-2012-5783 的修正不完整:新增來檢查伺服器主機名稱是否與 X.509 憑證主體之共用名稱 (CN) 欄位中的網域名稱相符的程式碼具有瑕疵。攔截式攻擊者可利用此瑕疵,使用特製的 X.509 憑證偽造 SSL 伺服器。

解決方案

執行「yum update jakarta-commons-httpclient」以更新系統。

另請參閱

https://alas.aws.amazon.com/ALAS-2014-410.html

Plugin 詳細資訊

嚴重性: Medium

ID: 78353

檔案名稱: ala_ALAS-2014-410.nasl

版本: 1.3

類型: local

代理程式: unix

已發布: 2014/10/12

已更新: 2018/4/18

支持的傳感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent

風險資訊

VPR

風險因素: Low

分數: 3.7

CVSS v2

風險因素: Medium

基本分數: 5.8

媒介: AV:N/AC:M/Au:N/C:P/I:P/A:N

弱點資訊

CPE: p-cpe:/a:amazon:linux:jakarta-commons-httpclient, p-cpe:/a:amazon:linux:jakarta-commons-httpclient-demo, p-cpe:/a:amazon:linux:jakarta-commons-httpclient-javadoc, p-cpe:/a:amazon:linux:jakarta-commons-httpclient-manual, cpe:/o:amazon:linux

必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

修補程式發佈日期: 2014/9/17

參考資訊

CVE: CVE-2012-5783, CVE-2012-6153, CVE-2014-3577

ALAS: 2014-410