漏洞标题
N/A
漏洞描述信息
## 漏洞概述
Irssi 在使用 SSL 时未能验证服务器主机名是否与 X.509 证书的主题 common name (CN) 字段或主题备用名称字段中的域名匹配,从而允许中间人攻击者通过任意证书冒充 IRC 服务器。
## 影响版本
Irssi 版本 0.8.15 之前的版本
## 漏洞细节
该漏洞源自 Irssi 在通过 SSL 连接时未能正确验证 X.509 证书中的主机名。在 SSL 连接过程中,Irssi 忽略了服务器证书的主机名验证,导致攻击者可以通过拦截 SSL 连接,并使用伪造的证书冒充合法的 IRC 服务器。
## 影响
中间人攻击者可以利用此漏洞通过任意证书冒充 IRC 服务器,进而截获用户的通信数据,导致敏感信息泄露。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Irssi before 0.8.15, when SSL is used, does not verify that the server hostname matches a domain name in the subject's Common Name (CN) field or a Subject Alternative Name field of the X.509 certificate, which allows man-in-the-middle attackers to spoof IRC servers via an arbitrary certificate.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Irssi拒绝服务和SSL主机名验证漏洞
漏洞描述信息
Irssi是一款免费开放源代码的IRC客户端,可使用在Linux和Unix操作系统下。 Irssi存在SSL主机名验证漏洞。当用户使用SSL时,Irssi并不验证服务器主机名是否匹配主题CN字段的域名或X.509证书的主题备选名称字段,中间人攻击者可利用任意证书伪造IRC服务器。
CVSS信息
N/A
漏洞类别
授权问题