CVE-2014-1910
CVSS5.8
发布时间 :2014-02-21 10:30:16
修订时间 :2014-02-21 12:34:57
NMCS    

[原文]Citrix ShareFile Mobile and ShareFile Mobile for Tablets before 2.4.4 for Android do not verify X.509 certificates from SSL servers, which allow man-in-the-middle attackers to spoof servers and obtain sensitive information via a crafted certificate.


[CNNVD]Citrix ShareFile Mobile和ShareFile Mobile for Tablets 输入验证漏洞(CNNVD-201402-305)

        Citrix ShareFile Mobile和ShareFile Mobile for Tablets都是美国思杰系统(Citrix Systems)公司的基于Android系统的移动存储应用程序,支持上传、下载、同步和加密文件等。
        Android平台上的Citrix ShareFile Mobile和ShareFile Mobile for Tablets 2.4及之前的版本中存在输入验证漏洞,该漏洞源于程序没有验证SSL服务器的X.509证书。攻击者可借助特制的证书利用该漏洞实施中间人攻击欺骗服务器,获取敏感信息。

- CVSS (基础分值)

CVSS分值: 5.8 [中等(MEDIUM)]
机密性影响: PARTIAL [很可能造成信息泄露]
完整性影响: PARTIAL [可能会导致系统文件被修改]
可用性影响: NONE [对系统可用性无影响]
攻击复杂度: MEDIUM [漏洞利用存在一定的访问条件]
攻击向量: NETWORK [攻击者不需要获取内网访问权或本地访问权]
身份认证: NONE [漏洞利用无需身份认证]

- CWE (弱点类目)

CWE-20 [输入验证不恰当]

- CPE (受影响的平台与产品)

cpe:/a:citrix:sharefile_mobile_for_tablets:2.4::~~~android~~
cpe:/a:citrix:sharefile_mobile:2.4::~~~android~~

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1910
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1910
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-201402-305
(官方数据源) CNNVD

- 其它链接及资源

http://support.citrix.com/article/CTX140303
(VENDOR_ADVISORY)  CONFIRM  http://support.citrix.com/article/CTX140303
http://www.securitytracker.com/id/1029791
(UNKNOWN)  SECTRACK  1029791
http://secunia.com/advisories/57020
(VENDOR_ADVISORY)  SECUNIA  57020

- 漏洞信息

Citrix ShareFile Mobile和ShareFile Mobile for Tablets 输入验证漏洞
中危 输入验证
2014-02-25 00:00:00 2014-02-25 00:00:00
远程  
        Citrix ShareFile Mobile和ShareFile Mobile for Tablets都是美国思杰系统(Citrix Systems)公司的基于Android系统的移动存储应用程序,支持上传、下载、同步和加密文件等。
        Android平台上的Citrix ShareFile Mobile和ShareFile Mobile for Tablets 2.4及之前的版本中存在输入验证漏洞,该漏洞源于程序没有验证SSL服务器的X.509证书。攻击者可借助特制的证书利用该漏洞实施中间人攻击欺骗服务器,获取敏感信息。

- 公告与补丁

        目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
        http://support.citrix.com/article/CTX140303

- 漏洞信息

Citrix ShareFile for Android SSL Certificate Validation Security Bypass Vulnerability
Design Error 65670
Yes No
2014-02-18 12:00:00 2014-02-18 12:00:00
Alexandru Gherman of FortConsult

- 受影响的程序版本

- 漏洞讨论

Citrix ShareFile for Android is prone to a security-bypass vulnerability because the application fails to properly validate SSL certificates.

Successfully exploiting this issue allows attackers to perform man-in-the-middle attacks or impersonate trusted servers, which will aid in further attacks.

Versions prior to Citrix ShareFile for Android 2.4.4 are vulnerable.

- 漏洞利用

An attacker can use readily available network utilities to exploit this issue.

- 解决方案

Updates are available. Please see the references or vendor advisory for more information.

- 相关参考

     

     

    关于SCAP中文社区

    SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

    版权声明

    CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站