Найдена уязвимость в наиболее используемых в настоящее время Wap
шлюзах, вызванная неправильной проверкой SSL сертификатов. Если эти сертификаты (они используются когда HTTPS, SSL включены) недопустимы, пользователю не выдается никакого предупреждения. Это позволяет
нападающим фальсифицировать "допустимый" сертификат, позволяющий ему ввести в заблуждение wap пользователей в
раскрытии важной информации.
Уязвимость работает в
- CMG (в следующем обновлении эта проблема будет решена)
- Openwave(Phone.com) - уязвим по умолчанию, но данная проблема может быть устранена правильной настройкой системы.
- Nokia (на HP/UX) - не уязвим.
Для проверки вашего шлюза на уязвимость зайдите на следующий
URL:
http://wap.z-y-g-o.com/cgi-bin/gateway_test
