当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-084974

漏洞标题:国家电子认证根CA某服务匿名访问可能导致敏感信息泄露等

相关厂商:国家电子认证根CA

漏洞作者: 路人甲

提交时间:2014-11-27 17:18

修复时间:2015-01-11 17:20

公开时间:2015-01-11 17:20

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-11-27: 细节已通知厂商并且等待厂商处理中
2014-12-01: 厂商已经确认,细节仅向厂商公开
2014-12-11: 细节向核心白帽子及相关领域专家公开
2014-12-21: 细节向普通白帽子公开
2014-12-31: 细节向实习白帽子公开
2015-01-11: 细节向公众公开

简要描述:

国家电子认证根CA某服务匿名访问,内部大量泄露等!

详细说明:

漏洞URL:

mask 区域 
1.://**.**.**


CA.png


1:这是我见过LDAP结构最大的一个!

1.png


2:49省市自治区信息,这个CA证书貌似可以伪造,好像能钓鱼,我就不具体尝试了。
3:主要运营CA

教育部教育管理信息中心
	云南省数字证书认证中心
	贵州数字认证中心
	北京世纪数码信息科技有限公司
	深圳市沃通电子商务服务有限公司
	广西壮族自治区数字证书认证中心有限公司
	卓望数码技术(深圳)有限公司
	中铁信弘远(北京)软件科技有限责任公司
	北京中认环宇信息安全技术有限公司
	北京国富安电子商务安全认证有限公司
	颐信科技有限公司
	北京数字认证股份有限公司
	浙江省数字安全证书管理有限公司
	东方中讯数字证书认证有限公司
	新疆数字证书认证中心(有限公司)
	河南省信息化发展有限公司
	北京天威诚信电子商务服务有限公司
	天津信息港电子商务有限公司
	深圳市电子商务安全证书管理有限公司
	上海市数字证书认证中心有限公司
	陕西省数字证书认证中心有限责任公司
	山西省数字证书认证中心(有限公司)
	山东省数字证书认证管理有限公司
	西部安全认证中心有限责任公司
	辽宁数字证书认证管理有限公司
	江西省数字证书有限公司
	江苏省电子商务服务中心有限责任公司
	中金金融认证中心有限公司
	中网威信电子安全服务有限公司
	国投安信数字证书认证有限公司
	东方新诚信数字认证中心有限公司
	湖南省数字认证服务中心有限公司
	湖北省数字证书认证管理中心有限公司
	河南省数字证书有限责任公司
	河北省电子认证有限公司
	广东数字证书认证中心有限公司
	广东省电子商务认证有限公司
	福建省数字安全证书管理有限公司
	安徽省电子认证管理中心有限责任公司
	教育部教育管理信息中心
	云南省数字证书认证中心
        ………………
        等等

漏洞证明:

1.png

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2014-12-01 17:09

厂商回复:

最新状态:

暂无