MagicLinux 4jakarta-commons-httpclient-3.1-0.9.AXS4 (AXSA:2014-529:01)
medium Nessus 插件 ID 289838
语言:
简介
远程iraclelinux 主机缺少安全更新。描述
远程iraclelinux 4 主机上存在安装的程序包该程序包受到 AXSA:2014-529:01 公告中提及的漏洞的影响。描述:
超文本传输协议 (HTTP) 可能是目前 Internet 上使用的最重要的协议。Web 服务、联网设备和网络计算的增长将 HTTP 协议的作用不断扩展,超出了用户驱动的 Web 浏览器的范围,同时,需要 HTTP 支持的应用程序数量也不断增加。
尽管 java.net 程序包为通过 HTTP 访问资源提供基本支持但它并未提供许多应用程序所需的全部灵活性或功能。Jakarta Commons HTTP Client 组件通过提供一个高效、最新且功能丰富的程序包来填补此空白该程序包可实现最新 HTTP 标准和建议书的客户端。
HTTP Client 组件专为扩展而设计同时为基本 HTTP 协议提供强大的支持为基础 HTTP 协议提供了构建 HTTP 感知的客户端应用程序的用户可能会感兴趣这些应用程序例如 Web 浏览器、Web 服务客户端或者利用或扩展 HTTP 协议进行分布式通信的系统。
此版本修复的安全问题
CVE-2014-3577 之前的 Apache HttpComponents HttpClient 和 4.0.24.3.5 之前的 HttpAsyncClient 中的 org.apache.http.conn.ssl.AbstractVerifier 未正确验证服务器主机名是否与主题的公用名 (CN) 或 subjectAltName 字段中的域名匹配X.509 证书其允许中间人攻击者通过证书的可分辨名 (DN) 中字段中的 CN= string 欺骗 SSL 服务器这一点已由 foo,CN=www.apache 证实。 org 字段中的字符串。
Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的 jakarta-commons-httpclient 程序包。另见
插件详情
严重性: Medium
ID: 289838
文件名: miracle_linux_AXSA-2014-529.nasl
版本: 1.1
类型: local
发布时间: 2026/1/16
最近更新时间: 2026/1/16
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Low
分数: 3.3
Vendor
Vendor Severity: High
CVSS v2
风险因素: Medium
基本分数: 5.8
时间分数: 4.5
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
CVSS 分数来源: CVE-2014-3577
CVSS v3
风险因素: Medium
基本分数: 4.8
时间分数: 4.3
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:miracle:linux:jakarta-commons-httpclient, cpe:/o:miracle:linux:4
必需的 KB 项: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
可利用: true
易利用性: Exploits are available
补丁发布日期: 2014/9/15
漏洞发布日期: 2014/8/12
参考资料信息
CVE: CVE-2014-3577