Alguém pode me dizer em qual versão do Apache axis2 CVE-2012-5785 está corrigida?
desde já, obrigado
Responder1
Alguém pode me dizer em qual versão do Apache axis2 CVE-2012-5785 está corrigida?
Diretamente da descrição da vulnerabilidade
Apache Axis2/Java 1.6.2 e versões anteriores não verificam se o nome do host do servidor corresponde a um nome de domínio no campo Common Name (CN) ou subjectAltName do certificado X.509, o que permite que invasores intermediários falsifiquem Servidores SSL por meio de um certificado válido arbitrário.
Devo salientar que não há lançamento depois1.6.2indica especificamente que eles corrigiram essa vulnerabilidade específica. No entanto, você deve usar a versão atual,1.7.7ter a melhor chance de não ser vulnerável devido às inúmeras mudanças desde 2012. Sem um código de prova de conceito, será difícil provar que a versão atual ainda é vulnerável. É literalmente que a correção foi documentada como outra coisa e simplesmente não mencionou esse CVE específico no log de alterações