发布日期：2012-10-16
更新日期：2013-02-22

受影响系统：

Apache Group Commons HttpClient 3.x

描述：

---

BUGTRAQ  ID: 58073
CVE(CAN) ID: CVE-2012-5783

HttpClient 是 Apache Jakarta Common 下的子项目，可以用来提供高效的、最新的、功能丰富的支持 HTTP 协议的客户端编程工具包，并且它支持 HTTP 协议最新的版本和建议。

Amazon Flexible Payments Service (FPS) merchant Java SDK产品使用的Apache Commons HttpClient没有正确校验主机名是否与CN中的域名或X.509证书subjectAltName字段的域名匹配，允许攻击者通过任意合法证书进行中间人攻击，欺骗SSL服务器。

<*来源：Martin Georgiev
        Subodh Iyengar
        Suman Jana
        Rishita Anubhai
        Dan Boneh
        Vitaly Shmatikov
  *>

建议：

---

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://hc.apache.org/httpclient-3.x/

浏览次数：4609
严重程度：0（网友投票）