CH azonosító
CH-6969Angol cím
Apache CXF WS-SecurityPolicy SupportingToken Two Security IssuesFelfedezés dátuma
2012.06.07.Súlyosság
KözepesÖsszefoglaló
Az Apache CXF két olyan sérülékenységét jelentették, amelyeket a támadók kihasználva megkerülhetnek bizonyos biztonsági szabályokat.
Leírás
- Elemek vagy bizonyos részek aláírására vagy titkosítására használt Supporting Token egy hibája bizonyos al házirendek (child policy) WS-SecurityPolicy 1.1 SupportingToken használata esetén nem kerülnek átvételre a kliens oldalon.
Ezt a sérülékenységet a 2.4.5 és 2.4.7 közötti, a 2.5.1 és 2.5.3 közötti illetve 2.6.0 verziókban jelentették. - A WS-SecurityPolicy 1.1 és 1.2 hibáját kihasználva, amikor a Supporting Token al házirendjeként vannak meghatározva, elégtelen ellenőrzéshez vezethet, ha az egyező elemek aláírásra vagy titkosításra kerülnek bizonyos token-t felhasználva.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Authentication Issues (Hitelesítés)Other (Egyéb)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: cxf.apache.org
Gyártói referencia: cxf.apache.org
SECUNIA 49361
CVE-2012-2378 - NVD CVE-2012-2378
CVE-2012-2379 - NVD CVE-2012-2379