Apache Axis不完整修复SSL证书验证绕过漏洞(CVE

发布日期:2014-08-20
更新日期:2014-08-21

受影响系统:
Apache Group Axis
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 69295
CVE(CAN) ID: CVE-2014-3596

Apache Axis 是一个全功能的Web服务实现框架,而 Axis2 是对 Axis1 的重构版本。

漏洞CVE-2012-5784的修复并不完整,检查服务器主机名是否匹配主题CN字段内的域名的代码内存在漏洞,这可使中间人攻击者用构造的主题欺骗有效的证书。

<*来源:David Jorm
        Arun Neelicattu
  *>

建议:
--------------------------------------------------------------------------------
厂商补丁:

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://issues.apache.org/jira/secure/attachment/12662672/CVE-2014-3596.patch

参考:
https://issues.apache.org/jira/browse/AXIS-2905

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/f3c654147866350881d11eae453d11a4.html