Apache CXF WS-SecurityPolicy SupportingToken sérülékenységek

CH azonosító

CH-6969

Angol cím

Apache CXF WS-SecurityPolicy SupportingToken Two Security Issues

Felfedezés dátuma

2012.06.07.

Súlyosság

Közepes

Érintett rendszerek

Apache CXF
Apache Software Foundation

Érintett verziók

Apache CXF 2.x

Összefoglaló

Az Apache CXF két olyan sérülékenységét jelentették, amelyeket a támadók kihasználva megkerülhetnek bizonyos biztonsági szabályokat.

Leírás

  1. Elemek vagy bizonyos részek aláírására vagy titkosítására használt Supporting Token egy hibája bizonyos al házirendek (child policy) WS-SecurityPolicy 1.1 SupportingToken használata esetén nem kerülnek átvételre a kliens oldalon.
    Ezt a sérülékenységet a 2.4.5 és 2.4.7 közötti, a 2.5.1 és 2.5.3 közötti illetve 2.6.0 verziókban jelentették.
  2. A WS-SecurityPolicy 1.1 és 1.2 hibáját kihasználva, amikor a Supporting Token al házirendjeként vannak meghatározva, elégtelen ellenőrzéshez vezethet, ha az egyező elemek aláírásra vagy titkosításra kerülnek bizonyos token-t felhasználva.

Megoldás

Frissítsen a legújabb verzióra