OWASP ESAPI身份验证绕过漏洞(CVE-2013-5960)
发布日期:2013-09-30
更新日期:2013-10-10
受影响系统:
OWASP ESAPI < 2.1.1
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 62786
CVE(CAN) ID: CVE-2013-5960
OWASP ESAPI是开源Web应用安全控件库。
OWASP Enterprise Security API (ESAPI) for Java 2.1.1之前版本的对称加密实现中,身份验证加密功能没有限制对序列化纯文本的篡改,存在身份验证绕过漏洞,远程攻击者通过对非默认配置的目标加密模式进行攻击,即可绕过密码保护机制。
<*来源:Kevin W. Wall
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
OWASP
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: