漏洞标题
N/A
漏洞描述信息
"在Android 4.x时代(4.4.4之前)Conscrypt中的TrustManagerImpl类中的缓存功能,以及在5.x时代(5.1.1 LMY49H之前)和6.x时代(2016-03-01之前)的Android版本,正确处理了中间CA和信任根CA之间的区分,这允许中间攻击者通过利用中间CA的访问权限来伪造服务器,也称为内部 bug 26232830。"
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The caching functionality in the TrustManagerImpl class in TrustManagerImpl.java in Conscrypt in Android 4.x before 4.4.4, 5.x before 5.1.1 LMY49H, and 6.x before 2016-03-01 mishandles the distinction between an intermediate CA and a trusted root CA, which allows man-in-the-middle attackers to spoof servers by leveraging access to an intermediate CA to issue a certificate, aka internal bug 26232830.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Android Conscrypt 安全漏洞
漏洞描述信息
Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。Conscrypt是其中的一个使用OpenSSL提供Java安全的组件。 Android的Conscrypt中的TrustManagerImpl.java文件中的TrustManagerImpl类的缓存功能存在安全漏洞,该漏洞源于程序没有正确处理中级CA和根CA的差别。攻击者可通过访问中级CA来分发证书,利用该漏洞实施中间人攻击,欺骗服务器。以下版本受到影响:Android 4.4.
CVSS信息
N/A
漏洞类别
授权问题