|
Miranda IM客户端Use TLS配置选项绕过安全限制漏洞
发布日期:2010-03-17
更新日期:2010-03-18
受影响系统:Miranda Miranda IM 0.8.16
Miranda Miranda IM 0.7.1
Miranda Miranda IM 0.7 描述:
BUGTRAQ ID: 38807
Miranda IM是Microsoft Windows平台上使用的开源多协议即时消息客户端。
如果满足了以下条件:
- jabber账号设置中启用了Use TLS
- Network设置中启用了Validate SSL certificates
- 高级jabber设置中禁用了SASL authentication
Miranda就会忽略Jabber账号中的Use TLS设置使用未加密的连接,这可能允许攻击者在用户连接到XMPP/Jabber服务器时执行窃听和扮演攻击。
<*来源:Jan Schejbal (jan.mailinglisten@googlemail.com)
链接:http://marc.info/?l=full-disclosure&m=126878593432354&w=2
http://code.google.com/p/miranda/issues/detail?id=152
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 清除Disable SASL authentication选项并重启Miranda。
厂商补丁:
Miranda
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.miranda-im.org/
浏览次数:291
严重程度:0(网友投票)
|
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障 |
