Может ли кто-нибудь подсказать, в какой версии Apache axis2 исправлена уязвимость CVE-2012-5785?
заранее спасибо
решение1
Может ли кто-нибудь подсказать, в какой версии Apache axis2 исправлена уязвимость CVE-2012-5785?
Прямо из описания уязвимости
Apache Axis2/Java 1.6.2 и более ранние версии не проверяют, совпадает ли имя хоста сервера с доменным именем в поле Common Name (CN) субъекта или в поле subjectAltName сертификата X.509, что позволяет злоумышленникам, использующим схему «man-in-the-middle», подделывать SSL-серверы с помощью произвольного действительного сертификата.
Я должен отметить отсутствие релиза после1.6.2конкретно указывает, что они исправили эту конкретную уязвимость. Однако вам следует использовать текущую версию,1.7.7иметь наилучшие шансы не быть уязвимым из-за многочисленных изменений с 2012 года. Без кода доказательства концепции будет сложно доказать, что текущая версия все еще уязвима. Это буквально исправление было задокументировано как что-то другое и просто не вызвало эту конкретную CVE в журнале изменений