CVE-2002-2125
CVSS6.4
发布时间 :2002-12-31 00:00:00
修订时间 :2008-09-05 16:32:23
NMC    

[原文]Internet Explorer 6.0 does not warn users when an expired certificate authority (CA) certificate is submitted to the user and a newer CA certificate is in the user's local repository, which could allow remote attackers to decrypt web sessions via a man-in-the-middle (MITM) attack.


[CNNVD]Microsoft Internet Explorer SSL证书过期漏洞(CNNVD-200212-859)

        
        Microsoft Internet Explorer是一款流行的WEB浏览器,可以通过SSL加密通信。
        Microsoft Internet Explorer中SSL使用的PKI实现存在问题,远程攻击者可以利用这个漏洞提供伪造证书而不被用户发现。
        在SSL/TLS握手过程中,Web服务程序会随意地发送完整证书链(Certificate chain)给客户端,这个证书链包含它自己的SERVER-CERT和一个或者多个在SERVER-CERT被验证过签字的CA-CERT(s)。在某些情况下,当服务器端发送的非法证书链时IE6会不警告用户。
        如果由服务器发送的(其中之一)CA-CERT(s)是非法的情况下如过期,IE6开始会在自身本地库(在可信Root Certification Authorities和其他列表中)中搜寻合法(或新的)CA-CERT(s),并尝试使用这个证书验证SERVER-CERT,如果在本地库中找到一个"更好的"CA-CERT,SSL握手就可以继续,并且浏览器不会对用户作出警告。
        注意这只在old_ca_public_key == new_ca_public_key AND issuer_old_ca_cert == issuer_new_ca_cert情况下才会出现,否则SERVER-CERT上的签字会不匹配,或者声明CA不可信。
        这个漏洞可能存在在操作系统中,而不仅在IE中,所以其他应用程序也可能存在这个漏洞。
        

- CVSS (基础分值)

CVSS分值: 6.4 [中等(MEDIUM)]
机密性影响: PARTIAL [很可能造成信息泄露]
完整性影响: PARTIAL [可能会导致系统文件被修改]
可用性影响: NONE [对系统可用性无影响]
攻击复杂度: LOW [漏洞利用没有访问限制 ]
攻击向量: [--]
身份认证: NONE [漏洞利用无需身份认证]

- CPE (受影响的平台与产品)

cpe:/a:microsoft:ie:6.0.2600Microsoft Internet Explorer 6.0.2600
cpe:/a:microsoft:ie:6.0.2800.1106Microsoft Internet Explorer 6.0.2800.1106
cpe:/a:microsoft:ie:6.0:sp1

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-2125
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2002-2125
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-200212-859
(官方数据源) CNNVD

- 其它链接及资源

http://www.securityfocus.com/bid/5778
(UNKNOWN)  BID  5778
http://www.securityfocus.com/archive/1/292842
(UNKNOWN)  BUGTRAQ  20020923 IE6 SSL Certificate Chain Verification
http://www.iss.net/security_center/static/10180.php
(UNKNOWN)  XF  ie-ssl-certificate-expired(10180)

- 漏洞信息

Microsoft Internet Explorer SSL证书过期漏洞
中危 设计错误
2002-12-31 00:00:00 2006-01-24 00:00:00
远程  
        
        Microsoft Internet Explorer是一款流行的WEB浏览器,可以通过SSL加密通信。
        Microsoft Internet Explorer中SSL使用的PKI实现存在问题,远程攻击者可以利用这个漏洞提供伪造证书而不被用户发现。
        在SSL/TLS握手过程中,Web服务程序会随意地发送完整证书链(Certificate chain)给客户端,这个证书链包含它自己的SERVER-CERT和一个或者多个在SERVER-CERT被验证过签字的CA-CERT(s)。在某些情况下,当服务器端发送的非法证书链时IE6会不警告用户。
        如果由服务器发送的(其中之一)CA-CERT(s)是非法的情况下如过期,IE6开始会在自身本地库(在可信Root Certification Authorities和其他列表中)中搜寻合法(或新的)CA-CERT(s),并尝试使用这个证书验证SERVER-CERT,如果在本地库中找到一个"更好的"CA-CERT,SSL握手就可以继续,并且浏览器不会对用户作出警告。
        注意这只在old_ca_public_key == new_ca_public_key AND issuer_old_ca_cert == issuer_new_ca_cert情况下才会出现,否则SERVER-CERT上的签字会不匹配,或者声明CA不可信。
        这个漏洞可能存在在操作系统中,而不仅在IE中,所以其他应用程序也可能存在这个漏洞。
        

- 公告与补丁

        临时解决方法:
        如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
        * 手工检测所有证书链,确定它们是否合法,不过没有得到Microsoft证实。
        厂商补丁:
        Microsoft
        ---------
        目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
        
        http://www.microsoft.com/windows/ie/default.asp
 

 

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站