Kann mir bitte jemand sagen, in welcher Version von Apache axis2 CVE-2012-5785 behoben ist?
Dank im Voraus
Antwort1
Kann mir bitte jemand sagen, in welcher Version von Apache axis2 CVE-2012-5785 behoben ist?
Direkt aus der Schwachstellenbeschreibung
Apache Axis2/Java 1.6.2 und früher überprüft nicht, ob der Server-Hostname mit einem Domänennamen im Feld „Common Name“ (CN) oder „SubjectAltName“ des X.509-Zertifikats übereinstimmt. Dadurch können Man-In-The-Middle-Angreifer SSL-Server über ein beliebiges gültiges Zertifikat fälschen.
Ich möchte darauf hinweisen, dass keine Freilassung nach1.6.2gibt ausdrücklich an, dass diese spezielle Schwachstelle behoben wurde. Sie sollten jedoch die aktuelle Version verwenden,1.7.7um die beste Chance zu haben, aufgrund zahlreicher Änderungen seit 2012 nicht anfällig zu sein. Ohne einen Proof-of-Concept-Code wird es schwierig sein, zu beweisen, dass die aktuelle Version immer noch anfällig ist. Es ist buchstäblich so, dass der Fix als etwas anderes dokumentiert wurde und dieser spezielle CVE im Änderungsprotokoll einfach nicht erwähnt wurde