CH azonosító
CH-7887Angol cím
Apache Axis SSL Certificate Verification Security IssueFelfedezés dátuma
2012.11.05.Súlyosság
AlacsonyÉrintett rendszerek
Apache Software FoundationAxis
Axis2/Java
Érintett verziók
Apache Axis 1.x
Apache Axis2/C 1.x
Apache Axis2/Java 1.x
Összefoglaló
Az Apache Axis egy biztonsági hibáját, amelyet kihasználva a támadók hamisításos (spoofing) támadásokat indíthatnak.
Leírás
A biztonsági hibát az okozza, hogy az X.509 tanúsítványok tárgyában a Common Name (CN) vagy a subjectAltName mezőkben a szerver hostnév a domain névvel szemben nincs ellenőrizve. Ez kihasználható SSL szerver haisításra például Man-in-the-Middle (MitM) támadásokon keresztül.
A biztonsági hibát a következő termékekben jelentették:
- Apache Axis version 1.4.
- Apache Axis2/Java version 1.6.2.
- Apache Axis2/C version 1.6.0.
Megoldás
Jelenleg a sérülékenységre nincs megoldás.
Támadás típusa
Authentication Issues (Hitelesítés)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.cs.utexas.edu
SECUNIA 51219
CVE-2012-5784 - NVD CVE-2012-5784
CVE-2012-5785 - NVD CVE-2012-5785
CVE-2012-6107 - NVD CVE-2012-6107