CVE-2012-5785 Apache Axis2 수정 사항

Question

Apache axis2 CVE-2012-5785의 어떤 버전이 수정되었는지 알려주실 수 있나요?

취약점 설명에서 직접

Apache Axis2/Java 1.6.2 및 이전 버전은 서버 호스트 이름이 주체의 CN(일반 이름) 또는 X.509 인증서의 subjectAltName 필드에 있는 도메인 이름과 일치하는지 확인하지 않으므로 중간자 공격자가 스푸핑할 수 있습니다. 임의의 유효한 인증서를 통한 SSL 서버.

원천

이후에는 릴리스가 없음을 지적해야합니다1.6.2구체적으로 특정 취약점을 수정했음을 나타냅니다. 단, 최신 버전을 사용해야 합니다.1.7.72012년 이후 수많은 변경으로 인해 취약하지 않을 가능성이 가장 높습니다. 개념 코드 증명 없이는 현재 버전이 여전히 취약하다는 것을 증명하기 어려울 것입니다. 말 그대로 수정 사항이 다른 것으로 문서화되었으며 변경 로그에서 이 특정 CVE를 언급하지 않았습니다.

Answer 1

Apache axis2 CVE-2012-5785의 어떤 버전이 수정되었는지 알려주실 수 있나요?

취약점 설명에서 직접

Apache Axis2/Java 1.6.2 및 이전 버전은 서버 호스트 이름이 주체의 CN(일반 이름) 또는 X.509 인증서의 subjectAltName 필드에 있는 도메인 이름과 일치하는지 확인하지 않으므로 중간자 공격자가 스푸핑할 수 있습니다. 임의의 유효한 인증서를 통한 SSL 서버.

원천

이후에는 릴리스가 없음을 지적해야합니다1.6.2구체적으로 특정 취약점을 수정했음을 나타냅니다. 단, 최신 버전을 사용해야 합니다.1.7.72012년 이후 수많은 변경으로 인해 취약하지 않을 가능성이 가장 높습니다. 개념 코드 증명 없이는 현재 버전이 여전히 취약하다는 것을 증명하기 어려울 것입니다. 말 그대로 수정 사항이 다른 것으로 문서화되었으며 변경 로그에서 이 특정 CVE를 언급하지 않았습니다.

CVE-2012-5785 Apache Axis2 수정 사항

답변1

관련 정보