Рекомендация Debian по безопасности

DLA-169-1 axis -- обновление безопасности LTS

Дата сообщения:
10.03.2015
Затронутые пакеты:
axis
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 762444.
В каталоге Mitre CVE: CVE-2012-5784, CVE-2014-3596.
Более подробная информация:

В axis, реализации SOAP на Java, была исправлена уязвимость:

Функция getCN в Apache Axis 1.4 и более ранних версиях неправильно выполняет проверку того, что имя узла сервера совпадает с именем домена в теме Common Name (CN) или поле subjectAltName сертификата X.509, что позволяет злоумышленникам, использующим принцип человек-в-середине, выдавать себя за серверы SSL с помощью сертификата с темой, определяющей общее имя в поле, которое не является полем CN.

Благодарим Маркуса Кошани за предоставление исправленного пакета, а также Дэвида Йорма и Аруна Ниликатту (Red Hat Product Security) за предоставление заплаты.

В Debian 6 Squeeze эти проблемы были исправлены в axis версии 1.4-12+deb6u1