阿里云漏洞库

低危 Ignite Realtime Smack API存在多个信息泄露漏洞

CVE编号

CVE-2014-0363

利用情况

暂无

补丁情况

缓解措施

披露时间

2014-04-30

漏洞描述

Ignite Realtime Spark是一款开源的跨平台IM客户端。

Ignite Realtime Smack API ServerTrustManger存在多个信息泄露漏洞，由于未能正确校验证书链中证书的basicConstraints和nameConstraints，允许攻击者利用漏洞进行中间人攻击。

解决建议

Smack API version 4.0.0已经修复该漏洞，建议用户下载更新：
http://www.igniterealtime.org/projects/smack/

参考链接
http://community.igniterealtime.org/blogs/ignite/2014/04/17/asmack-400-rc1-ha...
http://issues.igniterealtime.org/browse/SMACK-410
http://rhn.redhat.com/errata/RHSA-2015-1176.html
http://secunia.com/advisories/59290
http://secunia.com/advisories/59291
http://www.kb.cert.org/vuls/id/489228
http://www.securityfocus.com/bid/67119

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	igniterealtime	smack	*		Up to (including) 4.0.0
	运行在以下环境
	应用	igniterealtime	smack	2.2.0	-
	运行在以下环境
	应用	igniterealtime	smack	2.2.1	-
	运行在以下环境
	应用	igniterealtime	smack	3.0.0	-
	运行在以下环境
	应用	igniterealtime	smack	3.0.1	-
	运行在以下环境
	应用	igniterealtime	smack	3.0.2	-
	运行在以下环境
	应用	igniterealtime	smack	3.0.3	-
	运行在以下环境
	应用	igniterealtime	smack	3.1.0	-
	运行在以下环境
	应用	igniterealtime	smack	3.2.0	-
	运行在以下环境
	应用	igniterealtime	smack	3.2.1	-
	运行在以下环境
	应用	igniterealtime	smack	3.2.2	-
	运行在以下环境
	应用	igniterealtime	smack	3.3.0	-
	运行在以下环境
	应用	igniterealtime	smack	3.3.1	-
	运行在以下环境
	应用	igniterealtime	smack	3.4.0	-
	运行在以下环境
	应用	igniterealtime	smack	4.0.0	-
	运行在以下环境
	应用	redhat	jboss_fuse	*		Up to (including) 6.1.0
	运行在以下环境
	系统	fedora_21	smack	*		Up to (excluding) 3.2.2-8.fc21

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

缓解措施
数据保密性

数据泄露
数据完整性

传输被破坏
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-295	证书验证不恰当