设为首页收藏本站

LUPA开源社区

 找回密码
 注册
文章 帖子 博客
LUPA开源社区 首页 业界资讯 软件追踪 查看内容

HttpComponents Client发布安全更新

2014-8-19 16:42| 发布者: joejoe0332| 查看: 2060| 评论: 0|原作者: oschina|来自: oschina

摘要:   HttpComponents Client 发布安全漏洞修复:CVE-2014-3577,主机名验证容易导致 MITM 攻击。Apache HttpComponents(之前修订的 4.3.5/4.0.2 版本)可能因为在特定服务器端使用 SSL/TLS 证书时,默认主机名验证会 ...

  HttpComponents Client 发布安全漏洞修复:CVE-2014-3577,主机名验证容易导致 MITM 攻击。Apache HttpComponents(之前修订的 4.3.5/4.0.2 版本)可能因为在特定服务器端使用 SSL/TLS 证书时,默认主机名验证会很容易导致 “Man in the Middle Attack”。


  所有 HttpClient 4.3.5 和 HttpAsyncClient 4.0.2 的修订(包括 Android 版)版都包括了这个漏洞的修复。


http://search.maven.org/#artifactdetails|org.apache.httpcomponents|
httpclient|4.3.5|jar
http://search.maven.org/#artifactdetails|org.apache.httpcomponents|
httpasyncclient|4.0.2|jar

解决方案
- ----------
尽快升级 HttpClient 4.3.5 (including HttpClient port for Android against the
official Google Android SDK) 和 HttpClient (async) 4.0.2 的修订版 1614065 或者更高的版本。

Common Vulnerability Scoring (Version 2) and vector
- ---------------------------------------------------

CVSS Base Score               5.8
Impact Subscore               4.9
Exploitability Subscore       8.6
CVSS Temporal       Score     4.8
CVSS Environmental Score      1.4
Modified Impact Subscore      5.2
    ------------------------------
    Overall CVSS Score        1.4

CVSS v2 Vector 
      AV:N/AC:M/Au:N/C:P/I:N/A:P/E:F/RL:OF/RC:C/CDP:L/TD:L/CR:H/IR:L/AR:L


酷毙

雷人

鲜花

鸡蛋

漂亮
  • 快毕业了,没工作经验,
    找份工作好难啊?
    赶紧去人才芯片公司磨练吧!!

最新评论

关于LUPA|人才芯片工程|人才招聘|LUPA认证|LUPA教育|LUPA开源社区 ( 浙B2-20090187 浙公网安备 33010602006705号   

返回顶部