发布日期:2015-06-25 更新日期:2015-06-25 受影响系统: AsyncHttpClient AsyncHttpClient < 1.9.0 描述: CVE(CAN) ID: CVE-2013-7397 Async Http Client是异步HTTP及WebSocket客户端Java库。 Async Http Client 1.9.0之前版本,会跳过了X.509证书验证,除非keyStore位置及trustStore位置均显式设置。中间人攻击者在使用典型AHC配置中显示任意证书,即可欺骗HTTP服务器。 <*来源:losar *> 建议: 厂商补丁: AsyncHttpClient --------------- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: https://github.com/AsyncHttpClient/async-http-client https://github.com/AsyncHttpClient/async-http-client/issues/352 https://github.com/AsyncHttpClient/async-http-client/issues/197 Async Http Client 欺骗漏洞 (CVE-2013-7397)下载地址
