Apache CXF STSClient sérülékenysége
Angol cím: 
Apache CXF STSClient vulnerability
CERT-Hungary ID: 
CH-13994
Felfedezés dátuma: 
2017-04-18
Összefoglaló: 

Az Apache CXF STSClient sérülékenysége vált ismertté, melyet kihasználva a támadó megkerülheti az alkalmazott biztonsági korlátozásokat. A sérülékenységet kiküszöbölő megoldás már beszerezhető a gyártótól.

Leírás: 

A sérülékenységet az okozza, hogy az STSclient kliens nem megfelelően dolgozza fel a token ID-kat. Ezt kihasználva a támadó egy speciálisan megszerkesztett token segítségével megkerülheti a rendszer biztonsági korlátozásait.

Megoldás: 
Frissítsen a legújabb verzióra
Megoldás: 

Frissítsen a 3.0.13, 3.1.11-es verzióra.

Érintett verziók: 
3.0.13, 3.1.11 előtti