Apache CXF WS-SecurityPolicy SupportingToken sérülékenységek


2012. június 11. 07:05

CH azonosító

CH-6969

Angol cím

Apache CXF WS-SecurityPolicy SupportingToken Two Security Issues

Felfedezés dátuma

2012.06.07.

Súlyosság

Közepes

Érintett rendszerek

Apache CXF
Apache Software Foundation

Érintett verziók

Apache CXF 2.x

Összefoglaló

Az Apache CXF két olyan sérülékenységét jelentették, amelyeket a támadók kihasználva megkerülhetnek bizonyos biztonsági szabályokat.

Leírás

  1. Elemek vagy bizonyos részek aláírására vagy titkosítására használt Supporting Token egy hibája bizonyos al házirendek (child policy) WS-SecurityPolicy 1.1 SupportingToken használata esetén nem kerülnek átvételre a kliens oldalon.
    Ezt a sérülékenységet a 2.4.5 és 2.4.7 közötti, a 2.5.1 és 2.5.3 közötti illetve 2.6.0 verziókban jelentették.
  2. A WS-SecurityPolicy 1.1 és 1.2 hibáját kihasználva, amikor a Supporting Token al házirendjeként vannak meghatározva, elégtelen ellenőrzéshez vezethet, ha az egyező elemek aláírásra vagy titkosításra kerülnek bizonyos token-t felhasználva.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Authentication Issues (Hitelesítés)
Other (Egyéb)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: cxf.apache.org
Gyártói referencia: cxf.apache.org
SECUNIA 49361
CVE-2012-2378 - NVD CVE-2012-2378
CVE-2012-2379 - NVD CVE-2012-2379

Legfrissebb sérülékenységek
CVE-2024-20295 – Cisco IMC sérülékenysége
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
CVE-2024-1874 – PHP sérülékenysége
CVE-2024-24576 – Rust sérülékenysége
CVE-2023-45590 – Fortinet FortiClientLinux sérülékenysége
CVE-2024-29988 – Microsoft Windows SmartScreen sérülékenysége
CVE-2024-26234 – Microsoft Windows proxy driver sérülékenysége
CVE-2023-6320 – LG webOS sérülékenysége
Tovább a sérülékenységekhez »