apache axis2 中的 CVE-2012-5785 修復

Question

誰能告訴我 Apache axis2 CVE-2012-5785 的哪個版本已修復？

直接來自漏洞描述

Apache Axis2/Java 1.6.2 及更早版本不會驗證伺服器主機名稱是否與 X.509 憑證的主題公用名稱 (CN) 或 subjectAltName 欄位中的網域名稱匹配，這使得中間人攻擊者可以進行欺騙SSL 伺服器透過任意有效證書。

我應該指出之後沒有釋放1.6.2特別表明他們修復了該特定漏洞。但是，您應該使用當前版本，1.7.7由於自 2012 年以來的大量變化，我們有最好的機會不受到攻擊。從字面上看，該修復被記錄為其他內容，並且根本沒有在更改日誌中呼叫這個特定的 CVE

Answer 1

誰能告訴我 Apache axis2 CVE-2012-5785 的哪個版本已修復？

直接來自漏洞描述

Apache Axis2/Java 1.6.2 及更早版本不會驗證伺服器主機名稱是否與 X.509 憑證的主題公用名稱 (CN) 或 subjectAltName 欄位中的網域名稱匹配，這使得中間人攻擊者可以進行欺騙SSL 伺服器透過任意有效證書。

我應該指出之後沒有釋放1.6.2特別表明他們修復了該特定漏洞。但是，您應該使用當前版本，1.7.7由於自 2012 年以來的大量變化，我們有最好的機會不受到攻擊。從字面上看，該修復被記錄為其他內容，並且根本沒有在更改日誌中呼叫這個特定的 CVE

相關內容