微点交流论坛

标题: Drupal OpenID Module 欺骗"claimed_id"授权 [打印本页]

作者: pioneer 时间: 2008-2-14 11:41 标题: Drupal OpenID Module 欺骗"claimed_id"授权

来源

secunia.com

软件名

Drupal OpenID Module 5.x

描述

这可恶意欺骗OpenID授权
OpenID模块没有准确验证OpenID提供商返回的"claimed_id"值，这可通过设置恶意的OpenID提供商来欺骗其它OpenID的授权认证

该漏洞在5.x-1.0和之前的版本已经报告

解决方案

更新到OpenID 5.x-1.1.

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn