Bulletin d'alerte Debian

DLA-169-1 axis -- Mise à jour de sécurité pour LTS

Date du rapport :
10 mars 2015
Paquets concernés :
axis
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 762444.
Dans le dictionnaire CVE du Mitre : CVE-2012-5784, CVE-2014-3596.
Plus de précisions :

Une vulnérabilité a été corrigée dans axis, une implémentation de SOAP en Java :

La fonction getCN dans Apache Axis versions 1.4 et précédentes ne vérifie pas correctement si le nom d'hôte du serveur correspond à un nom de domaine dans les champs Common Name (CN) ou subjectAltName du sujet des certificats X.509. Cela permet à des attaquants de type « homme du milieu » d'usurper l'identité des serveurs SSL à l'aide d'un certificat avec un sujet qui indique un « common name » dans un champ qui n'est pas le champ CN.

Merci à Markus Koschany pour la fourniture du paquet corrigé, et à David Jorm et Arun Neelicattu (Red Hat Product Security) pour la fourniture du correctif.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans axis version 1.4-12+deb6u1