Подмена SSL сертификатов в Apache Axis

Дата публикации:
12.11.2012
Дата изменения:
01.10.2013
Всего просмотров:
2832
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:N/AC:M/Au:N/C:P/I:P/A:N/E:U/RL:U/RC:C) = Base:5.8/Temporal:4.9
CVE ID:
CVE-2012-5784
CVE-2012-5785
Вектор эксплуатации:
Удаленная
Воздействие:
Спуфинг атака
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Apache Axis 1.x
Apache Axis2/Java 1.x
Apache Axis2/C 1.x
Уязвимые версии:
Apache Axis 1.4
Apache Axis2/Java 1.6.2
Apache Axis2/C version 1.6.0.

Описание:
Уязвимость позволяет удаленному пользователю произвести спуфинг атаку.

Уязвимость существует из-за того, что приложение не сопоставляем имя сервера доменному имени, указанному в Common Name (CN) и subjectAltName полях сертификатов X.509. Удаленный пользователь может подделать SSL сертификат и произвести атаку «человек посередине».

URL производителя: http://ws.apache.org/axis/

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: http://www.cs.utexas.edu/~shmat/shmat_ccs12.pdf
Журнал изменений: 01.10.2013 - обновлен список уязвимых приложений.

или введите имя

CAPTCHA