Il CVE-2012-5786 influisce su Apache CXF 3.1.11 e successive?

1

Usiamo il Controllo dipendenza OWASP per identificare le vulnerabilità nelle dipendenze del nostro progetto Java. Uno che viene contrassegnato è CVE-2012-5786 . Secondo quel CVE, il problema è "in Apache CXF, possibilmente 2.6.0".

Stiamo usando Apache CXF 3.1.11, rilasciato ad aprile 2017. A causa di quanto sia vaga la CVE su quali versioni sono interessate, non siamo sicuri che la nostra versione di CXF sia influenzata. Sospettiamo non da quando ha cinque anni, ma credo che non lo sappiamo per certo.

CVE-2012-5786 influisce su Apache CXF 3.1.11 (e successive)?

    
posta Thunderforge 28.06.2017 - 17:53
fonte

1 risposta

2

Quello che capisco dall'articolo di exploit collegato in cve (shmat_ccs12.pdf): cxf è vulnerabile all'uomo nell'attacco centrale quando configurato per non controllare i certificati (disableCNCheck = true). Di default è configurato per controllare i certificati, quindi se non giochi con disableCNCheck (per usare un certificato autofirmato con un esempio) sei sicuro riguardo a questo cve.

    
risposta data 18.07.2017 - 15:53
fonte

Leggi altre domande sui tag