当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

漏洞名称:Async Http Client欺骗漏洞(CVE-2013-7398)

     发表日期:2015-06-26 09:34:06

漏洞名称:Async Http Client欺骗漏洞(CVE-2013-7398)
CVE ID:CVE-2013-7398
受影响系统:
AsyncHttpClient AsyncHttpClient < 1.9.0
详细信息:
 
Async Http Client是异步HTTP及WebSocket客户端Java库。
 
 
 
Async Http Client 1.9.0之前版本,main/java/com/ning/http/client/AsyncHttpClientConfig.java没有要求X.509证书验证时主机名匹配,中间人攻击者通过任意有效的证书,利用此漏洞可欺骗HTTPS服务器。
 
 
漏洞来源:
losar
解决方案:
厂商补丁:
 
AsyncHttpClient
---------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
 
 
 
https://github.com/AsyncHttpClient/async-http-client
 
 
 
https://github.com/AsyncHttpClient/async-http-client/issues/197