Trillian MSN认证不充分SSL证书验证漏洞

CNNVD-ID编号	CNNVD-201004-481	CVE编号	CVE-2009-4831
发布时间	2009-06-26	更新时间	2010-04-30
漏洞类型	输入验证	漏洞来源	Gabriel Menezes Nunes gab.mnunes@gmail.com
危险等级	中危	威胁类型	远程
厂商	trillian

漏洞介绍

Cerulean Studios Trillian是一个聊天程序，和多种即时通讯程序使用相同的接口，包括AIM、ICQ、Yahoo! Messenger、MSN Messenger和IRC。

Cerulean Studios Trillian 3.1 Basic在MSN认证时不检查SSL证书，远程攻击者可利用伪造的SSL证书，通过中间人攻击获取MSN凭证。

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.ceruleanstudios.com/

来源: XF

名称: trillian-ssl-security-bypass(51400)

链接：http://xforce.iss.net/xforce/xfdb/51400
来源: BID

名称: 35509

链接：http://www.securityfocus.com/bid/35509
来源: BUGTRAQ

名称: 20090626 Trillian SSL Certificate Vulnerability

链接：http://www.securityfocus.com/archive/1/archive/1/504573/100/0/threaded
来源: SECUNIA

名称: 35620

链接：http://secunia.com/advisories/35620