一、 漏洞 CVE-2011-0228 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
## 漏洞概述 Apple iOS的Data Security组件在验证X.509证书链时未检查basicConstraints参数,导致中间人攻击者可以使用非CA证书为任意域名签署证书,从而冒充SSL服务器。 ## 影响版本 - iOS 4.2.10 之前版本 - iOS 4.3.x 4.3.5 之前版本 ## 细节 漏洞在于验证X.509证书链时未检查basicConstraints参数。中间人攻击者可以利用非证书颁发机构(CA)的证书为任意域名签发证书,绕过正常的证书验证过程,从而冒充SSL服务器。 ## 影响 攻击者能够冒充SSL服务器,导致用户可能访问到恶意服务器,风险包括信息泄露、中间人攻击等。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Data Security component in Apple iOS before 4.2.10 and 4.3.x before 4.3.5 does not check the basicConstraints parameter during validation of X.509 certificate chains, which allows man-in-the-middle attackers to spoof an SSL server by using a non-CA certificate to sign a certificate for an arbitrary domain.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Apple iOS 'basicConstraints' X.509证书链验证漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apple iOS是美国苹果(Apple)公司为移动设备所开发的一套操作系统。 Apple iOS "basicConstraints" X.509在验证证书链中的证书"basicConstraints"参数时存在错误,通过中间人攻击,远程攻击者可欺骗任意域中的证书并泄露加密信息。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2011-0228 的公开POC
# POC 描述 源链接 神龙链接
1 CVE-2011-0228 fix for older idevices/firmwares https://github.com/jan0/isslfix POC详情
三、漏洞 CVE-2011-0228 的情报信息