当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

漏洞名称:Async Http Client欺骗漏洞(CVE-2013-7397)

     发表日期:2015-06-26 09:34:17

漏洞名称:Async Http Client欺骗漏洞(CVE-2013-7397)
CVE ID:CVE-2013-7397
受影响系统:
AsyncHttpClient AsyncHttpClient < 1.9.0
详细信息:
 
Async Http Client是异步HTTP及WebSocket客户端Java库。
 
 
 
Async Http Client 1.9.0之前版本,会跳过了X.509证书验证,除非keyStore位置及trustStore位置均显式设置。中间人攻击者在使用典型AHC配置中显示任意证书,即可欺骗HTTP服务器。
 
 
漏洞来源:
losar
解决方案:
厂商补丁:
 
AsyncHttpClient
---------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
 
 
 
https://github.com/AsyncHttpClient/async-http-client
 
 
 
https://github.com/AsyncHttpClient/async-http-client/issues/352
 
 
 
https://github.com/AsyncHttpClient/async-http-client/issues/197