Apache MyFaces információ felfedés sérülékenység


2010. október 27. 07:45

CH azonosító

CH-3841

Angol cím

Apache MyFaces Cryptographic Padding Oracle Information Disclosure

Felfedezés dátuma

2010.10.25.

Súlyosság

Közepes

Érintett rendszerek

Apache Software Foundation
MyFaces

Érintett verziók

Apache MyFaces 1.1.x, 1.2.x, 2.0.x

Összefoglaló

Az Apache MyFaces olyan sérülékenysége vált ismertté, amelyet kihasználva támadók bizalmas információkhoz juthatnak.

Leírás

A sérülékenységet a MyFaces nem megfelelő hibakezelése okozza a kriptográfiai kiegészítések ellenőrzésekor, bizonyos algoritmusok használata esetén. Ez kihasználható kódolt adatok, pl. View State, visszafejtésre, az érintett szerverről visszaküldött hibakódok segítségével.

Ez kapcsolódik egy korábbi sérülékenységhez:
CH-3675

A sérülékenységet az 1.1.8, 1.2.9 és 2.0.1. előtti verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Information disclosure (Információ/adat szivárgás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: issues.apache.org
Egyéb referencia: media.blackhat.com
CERT-Hungary CH-3675
SECUNIA 41995
SECUNIA 41409
CVE-2010-2057 - NVD CVE-2010-2057

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-37091 – HPE StoreOnce Remote Code Execution sebezhetősége
CVE-2025-37093 – HPE StoreOnce Authentication Bypass sebezhetősége
CVE-2025-20271 – Cisco AnyConnect VPN sérülékenység
CVE-2025-43200 – Apple Multiple Products Unspecified sérülékenysége
CVE-2023-0386 – Linux Kernel Improper Ownership Management sebezhetősége
CVE-2023-33538 – TP-Link Multiple Routers Command Injection sérülékenysége
CVE-2025-3464 – Asus Armoury Crate AsIO3.sys authorization bypass sérülékenysége
CVE-2025-4123 – Grafana cross-site scripting (XSS) sebezhetősége
CVE-2025-33073 – Windows SMB Client Elevation of Privilege sérülékenysége
Tovább a sérülékenységekhez »