¿Alguien puede decirme en qué versión de Apache axis2 CVE-2012-5785 está solucionado?
gracias de antemano
Respuesta1
¿Alguien puede decirme en qué versión de Apache axis2 CVE-2012-5785 está solucionado?
Directamente desde la descripción de la vulnerabilidad
Apache Axis2/Java 1.6.2 y anteriores no verifican que el nombre de host del servidor coincida con un nombre de dominio en el campo Nombre común (CN) o subnombreAltName del certificado X.509, lo que permite a los atacantes intermediarios falsificar Servidores SSL a través de un certificado válido arbitrario.
Debo señalar que no hay liberación después1.6.2indica específicamente que solucionaron esa vulnerabilidad en particular. Sin embargo, deberías utilizar la versión actual,1.7.7tener la mayor probabilidad de no ser vulnerable debido a numerosos cambios desde 2012. Sin un código de prueba de concepto será difícil demostrar que la versión actual sigue siendo vulnerable. Literalmente, la solución se documentó como otra cosa y simplemente no mencionó este CVE en particular en el registro de cambios.