CH azonosító
CH-12003Angol cím
APACHE Wss4j vulnerabilityFelfedezés dátuma
2015.02.15.Súlyosság
KözepesÉrintett rendszerek
Apache Software FoundationWSS4J
Érintett verziók
APACHE Wss4j (1.6.16, 2.0.0, 2.0.1)
Összefoglaló
Az APACHE Wss4j sérülékenysége vált ismertté.
Leírás
Az APACHE Wss4j 1.6.17-es és 2.0.2 előtti verziói lehetővé teszik a requireSignedEncryptedDataElements konfiguráció kijátszását egy meghatározott vektoron keresztül.
Megoldás
WSS4J 1.6.x használók: 1.6.17 vagy későbbi verzió telepítése
WSS4J 2.0.x használók: 2.0.2 vagy későbbi verzió telepítése
Támadás típusa
Privilege escalation (jogosultság kiterjesztés)Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2015-0227 - NVD CVE-2015-0227
Egyéb referencia: ws.apache.org