漏洞标题
N/A
漏洞描述信息
在Windows上的Apache Qpid Proton库中,在0.13.1之前版本的C客户端和基于C的客户端绑定,在基于SChannel的安全层中,未正确验证服务器主机名与X.509证书主题的CN或主题AltName字段中的域名匹配,这允许中间人攻击者通过任意有效的证书来伪造服务器。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The C client and C-based client bindings in the Apache Qpid Proton library before 0.13.1 on Windows do not properly verify that the server hostname matches a domain name in the subject's Common Name (CN) or subjectAltName field of the X.509 certificate when using the SChannel-based security layer, which allows man-in-the-middle attackers to spoof servers via an arbitrary valid certificate.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Apache Qpid Proton 安全绕过漏洞
漏洞描述信息
Apache Qpid Proton是美国阿帕奇(Apache)软件基金会开发的一个高性能、轻量化的消息库。 Apache Qpid Proton 0.8至0.13.0版本中存在安全绕过漏洞。攻击者可利用该漏洞实施中间人攻击,绕过安全限制。
CVSS信息
N/A
漏洞类别
信任管理问题