阿里云漏洞库

漏洞描述

(1)CertGetCertificaTechAin，(2)CertifVerifyCertificaPolicy，以及(3)Microsoft产品的CryptoAPI中的WinVerifyTrustAPI，包括MicrosoftWindows98到XP、MacOfficeforMac、MacInternetExplorer和MacOutlookExpress，无法正确验证中间CA签名的X.509证书的基本约束，这允许远程攻击者通过中间人攻击SSL会话来欺骗受信任站点的证书，如最初报告的InternetExplorer和IIS。 

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://marc.info/?l=bugtraq&m=102866120821995&w=2
http://marc.info/?l=bugtraq&m=102918200405308&w=2
http://marc.info/?l=bugtraq&m=102976967730450&w=2
https://docs.microsoft.com/en-us/security-updates/securitybulletins/2002/ms02-050
https://exchange.xforce.ibmcloud.com/vulnerabilities/9776
https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.ova...
https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.ova...
https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.ova...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	adam_megacz	tinyssl	1.0.2	-
	运行在以下环境
	应用	kde	konqueror	2.2.2	-
	运行在以下环境
	应用	kde	konqueror	3.0	-
	运行在以下环境
	应用	kde	konqueror	3.0.1	-
	运行在以下环境
	应用	kde	konqueror	3.0.2	-
	运行在以下环境
	应用	microsoft	ie	5.0	-
	运行在以下环境
	应用	microsoft	ie	5.0.1	-
	运行在以下环境
	应用	microsoft	ie	5.5	-
	运行在以下环境
	应用	microsoft	ie	6.0	-
	运行在以下环境
	应用	microsoft	ie_for_macintosh	5.0	-
	运行在以下环境
	应用	microsoft	ie_for_macintosh	5.1	-
	运行在以下环境
	应用	microsoft	ie_for_macintosh	5.1.1	-
	运行在以下环境
	应用	microsoft	internet_information_services	5.0	-
	运行在以下环境
	应用	microsoft	office	2001	-
	运行在以下环境
	应用	microsoft	office	98	-
	运行在以下环境
	应用	microsoft	office	v.x	-
	运行在以下环境
	应用	microsoft	outlook_express	4.5	-
	运行在以下环境
	应用	microsoft	outlook_express	5.0	-
	运行在以下环境
	应用	microsoft	outlook_express	5.0.1	-
	运行在以下环境
	应用	microsoft	outlook_express	5.0.2	-
	运行在以下环境
	应用	microsoft	outlook_express	5.0.3	-

攻击路径

网络
攻击复杂度

低
权限要求

无
影响范围

N/A
用户交互

无
可用性

部分地
保密性

部分地
完整性

部分地

CWE-ID	漏洞类型
CWE-295	证书验证不恰当
NVD-CWE-Other

tinyssl 欺骗漏洞

漏洞描述

解决建议

参考链接

受影响软件情况