CH azonosító
CH-13994Angol cím
Apache CXF STSClient vulnerabilityFelfedezés dátuma
2017.04.17.Súlyosság
KözepesÖsszefoglaló
Az Apache CXF STSClient sérülékenysége vált ismertté, melyet kihasználva a támadó megkerülheti az alkalmazott biztonsági korlátozásokat. A sérülékenységet kiküszöbölő megoldás már beszerezhető a gyártótól.
Leírás
A sérülékenységet az okozza, hogy az STSclient kliens nem megfelelően dolgozza fel a token ID-kat. Ezt kihasználva a támadó egy speciálisan megszerkesztett token segítségével megkerülheti a rendszer biztonsági korlátozásait.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Frissítsen a 3.0.13, 3.1.11-es verzióra.
Támadás típusa
Security bypass (Biztonsági szabályok megkerülése)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: cxf.apache.org
CVE-2017-5656 - NVD CVE-2017-5656