誰能告訴我 Apache axis2 CVE-2012-5785 的哪個版本已修復?
先致謝
答案1
誰能告訴我 Apache axis2 CVE-2012-5785 的哪個版本已修復?
直接來自漏洞描述
Apache Axis2/Java 1.6.2 及更早版本不會驗證伺服器主機名稱是否與 X.509 憑證的主題公用名稱 (CN) 或 subjectAltName 欄位中的網域名稱匹配,這使得中間人攻擊者可以進行欺騙SSL 伺服器透過任意有效證書。
我應該指出之後沒有釋放1.6.2特別表明他們修復了該特定漏洞。但是,您應該使用當前版本,1.7.7由於自 2012 年以來的大量變化,我們有最好的機會不受到攻擊。從字面上看,該修復被記錄為其他內容,並且根本沒有在更改日誌中呼叫這個特定的 CVE