Может кто-нибудь сказать, пожалуйста, в какой версии Apache axis2 CVE-2012-5785 исправлена?
заранее спасибо
1 ответ
1
Может кто-нибудь сказать, пожалуйста, в какой версии Apache axis2 CVE-2012-5785 исправлена?
Прямо из описания уязвимости
Apache Axis2/Java 1.6.2 и более ранние версии не проверяют, совпадает ли имя хоста сервера с именем домена в поле Common Name (CN) субъекта или subjectAltName сертификата X.509, что позволяет злоумышленникам подделывать сообщения SSL-серверы через произвольный действительный сертификат.
Я должен указать, что никакой версии после 1.6.2 специально не указано, что они исправили эту конкретную уязвимость. Тем не менее, вы должны использовать текущую версию 1.7.7, чтобы иметь больше шансов не стать уязвимым из-за многочисленных изменений с 2012 года. Без проверки концептуального кода будет трудно доказать, что текущая версия все еще уязвима. Буквально это исправление было задокументировано как-то еще и просто не вызывало этот конкретный CVE в журнале изменений.