Apache axis2 の CVE-2012-5785 修正

Question

Apache axis2 のどのバージョンで CVE-2012-5785 が修正されているか教えていただけますか?

脆弱性の説明から直接

Apache Axis2/Java 1.6.2 以前では、サーバーのホスト名が X.509 証明書のサブジェクトの共通名 (CN) または subjectAltName フィールドのドメイン名と一致するかどうかが検証されないため、中間者攻撃者が任意の有効な証明書を使用して SSL サーバーを偽装できる可能性があります。

ソース

それ以降はリリースされないことを指摘しておくべきだろう1.6.2特定の脆弱性を修正したことを具体的に示しています。ただし、最新バージョンを使用する必要があります。1.7.72012年以降に行われた多数の変更により、脆弱性がない可能性が最も高い。概念実証コードがなければ、現在のバージョンがまだ脆弱であることを証明することは困難です。文字通り、修正は別のものとして文書化されており、変更ログでこの特定のCVEが呼び出されなかっただけです。

Answer 1

Apache axis2 のどのバージョンで CVE-2012-5785 が修正されているか教えていただけますか?

脆弱性の説明から直接

Apache Axis2/Java 1.6.2 以前では、サーバーのホスト名が X.509 証明書のサブジェクトの共通名 (CN) または subjectAltName フィールドのドメイン名と一致するかどうかが検証されないため、中間者攻撃者が任意の有効な証明書を使用して SSL サーバーを偽装できる可能性があります。

ソース

それ以降はリリースされないことを指摘しておくべきだろう1.6.2特定の脆弱性を修正したことを具体的に示しています。ただし、最新バージョンを使用する必要があります。1.7.72012年以降に行われた多数の変更により、脆弱性がない可能性が最も高い。概念実証コードがなければ、現在のバージョンがまだ脆弱であることを証明することは困難です。文字通り、修正は別のものとして文書化されており、変更ログでこの特定のCVEが呼び出されなかっただけです。

Apache axis2 の CVE-2012-5785 修正

答え1

関連情報