Search (keywords):  SOFT ARTICLES TIPS & TRICKS SECURITY LINKS NEWS MAN DOCUMENTATION

<< Previous INDEX Search src Set bookmark Go to bookmark Next >>

Date: Thu, 3 Jan 2002 15:04:17 +0100
From: K.J.Mueller@EnBW.com
To: venglin@freebsd.lublin.pl, security@e-matters.de, bugtraq@securityfocus.com
Subject: AW: IE https certificate attack

Hi,

could it be, that the text-browsers (lynx, links, w3m) don't even
bother comparing the actual server name to the certificate's 
"issued for" entry?

I just tested these and none complained:

- lynx 2.8.5dev.2 (with OpenSSL 0.9.6a)
- links 0.96
- w3m 0.1.11-pre
(all on Mandrake Linux 8.1)

Neither did any of them complain when accessing a https web page
with a self-made certificate.


Regards, K.

> Looks like Konqueror 2.2.1 (Mandrake Linux 8.1 + OpenSSL 0.9.6b) is also 
> vulnerable. I've got no warning when entering on this page. I've tested it

> also with lynx 2.8.4rel.1 (compiled with OpenSSL 0.9.6a on FreeBSD) with
the 
> same result. 
> 
> -- 
> * Fido: 2:480/124 ** WWW: http://www.frasunek.com/ ** 
> NIC-HDL: PMF9-RIPE *
> * Inet: przemyslaw@frasunek.com ** PGP: 
> D48684904685DF43EA93AFA13BE170BF *

<< Previous INDEX Search src Set bookmark Go to bookmark Next >>

ПОДПИШИСЬ НА ЖУРНАЛ Linux Format 2012! Журнал "Linux Format" (Линукс Формат)- Единственный в России и странах СНГ журнал на русском языке, посвящённый Linux и свободному ПО. Журнал для IT-директоров, IT-менеджеров, программистов, системных администраторов, учителей школ и преподавателей ВУЗов и всех пользователей ПК. В каждом выпуске: Новости индустрии OpenSource, обзоры новинок свободного ПО, обучающие и методические статьи. Каждый, кто оформит подписку, получает бонусы и подарки- объёмные наклейки на системный блок, диск с архивом номеров за 2005-2011 г.г. и ежемесячно электронную версию журнала в pdf-формате. Оформить подписку на год