Apache CXF WS-SecurityPolicy SupportingToken sérülékenységek


2012. június 11. 07:05

CH azonosító

CH-6969

Angol cím

Apache CXF WS-SecurityPolicy SupportingToken Two Security Issues

Felfedezés dátuma

2012.06.07.

Súlyosság

Közepes

Érintett rendszerek

Apache CXF
Apache Software Foundation

Érintett verziók

Apache CXF 2.x

Összefoglaló

Az Apache CXF két olyan sérülékenységét jelentették, amelyeket a támadók kihasználva megkerülhetnek bizonyos biztonsági szabályokat.

Leírás

  1. Elemek vagy bizonyos részek aláírására vagy titkosítására használt Supporting Token egy hibája bizonyos al házirendek (child policy) WS-SecurityPolicy 1.1 SupportingToken használata esetén nem kerülnek átvételre a kliens oldalon.
    Ezt a sérülékenységet a 2.4.5 és 2.4.7 közötti, a 2.5.1 és 2.5.3 közötti illetve 2.6.0 verziókban jelentették.
  2. A WS-SecurityPolicy 1.1 és 1.2 hibáját kihasználva, amikor a Supporting Token al házirendjeként vannak meghatározva, elégtelen ellenőrzéshez vezethet, ha az egyező elemek aláírásra vagy titkosításra kerülnek bizonyos token-t felhasználva.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Authentication Issues (Hitelesítés)
Other (Egyéb)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: cxf.apache.org
Gyártói referencia: cxf.apache.org
SECUNIA 49361
CVE-2012-2378 - NVD CVE-2012-2378
CVE-2012-2379 - NVD CVE-2012-2379

Legfrissebb sérülékenységek
CVE-2023-6448 – Unitronics Vision Series PLC sérülékenysége
CVE-2023-33106 – Qualcomm Multiple Chipsets sérülékenység
CVE-2023-33107 – Qualcomm Multiple Chipsets sérülékenysége
CVE-2023-33063 – Qualcomm Multiple Chipsets sérülékenység
CVE-2023-40088 – Android sérülékenysége
CVE-2023-40076 – Android sérülékenysége
CVE-2023-40077 – Android sérülékenysége
CVE-2023-49093 – HtmlUnit sérülékenysége
CVE-2023-42917 – Apple iOS sérülékenysége
CVE-2023-42916 – Apple iOS sérülékenysége
Tovább a sérülékenységekhez »