¿El CVE-2012-5786 afecta a Apache CXF 3.1.11 y posteriores?

1

Utilizamos Comprobación de dependencia de OWASP para identificar vulnerabilidades en las dependencias de nuestro proyecto Java. Uno que está siendo marcado es CVE-2012-5786 . Según ese CVE, el problema es "en Apache CXF, posiblemente 2.6.0".

Estamos utilizando Apache CXF 3.1.11, lanzado en abril de 2017. Debido a lo vago que es el CVE sobre qué versiones están afectadas, no estamos seguros de si nuestra versión de CXF está afectada. Sospechamos que no, ya que tiene cinco años, pero supongo que no lo sabemos con seguridad.

¿CVE-2012-5786 afecta a Apache CXF 3.1.11 (y posterior)?

    
pregunta Thunderforge 28.06.2017 - 17:53
fuente

1 respuesta

2

Lo que entiendo del artículo de exploits vinculado en cve (shmat_ccs12.pdf): cxf es vulnerable al ataque en el medio cuando está configurado para no verificar certificados (disableCNCheck = true). De forma predeterminada, está configurado para verificar certificados, por lo que si no juegas con disableCNCheck (para usar el certificado autofirmado por ejemplo), estás seguro con respecto a esta cve.

    
respondido por el nbourdais 18.07.2017 - 15:53
fuente

Lea otras preguntas en las etiquetas