CH azonosító
CH-3841Angol cím
Apache MyFaces Cryptographic Padding Oracle Information DisclosureFelfedezés dátuma
2010.10.25.Súlyosság
KözepesÉrintett rendszerek
Apache Software FoundationMyFaces
Érintett verziók
Apache MyFaces 1.1.x, 1.2.x, 2.0.x
Összefoglaló
Az Apache MyFaces olyan sérülékenysége vált ismertté, amelyet kihasználva támadók bizalmas információkhoz juthatnak.
Leírás
A sérülékenységet a MyFaces nem megfelelő hibakezelése okozza a kriptográfiai kiegészítések ellenőrzésekor, bizonyos algoritmusok használata esetén. Ez kihasználható kódolt adatok, pl. View State, visszafejtésre, az érintett szerverről visszaküldött hibakódok segítségével.
Ez kapcsolódik egy korábbi sérülékenységhez:
CH-3675
A sérülékenységet az 1.1.8, 1.2.9 és 2.0.1. előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Information disclosure (Információ/adat szivárgás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: issues.apache.org
Egyéb referencia: media.blackhat.com
CERT-Hungary CH-3675
SECUNIA 41995
SECUNIA 41409
CVE-2010-2057 - NVD CVE-2010-2057