2014-1122: Apache Software Foundation Axis: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2014-08-27 19:27)

Neues Advisory

Version 2 (2014-09-03 15:03)

RedHat hat Sicherheitsupdates für das Red Hat Developer Toolset 2 für RHEL 6 veröffentlicht.

Version 3 (2014-09-16 12:38)

Für verschiedene Red Hat Enterprise Linux 5 und 6 Produkte stehen Sicherheitsupdates bereit.

Version 4 (2015-05-15 15:19)

Für das Red Hat JBoss Portal 6.2.0 steht ein Sicherheitsupdate bereit.

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Es wurde festgestellt, dass der Fix für die Schwachstelle CVE-2012-5784 unvollständig war. Der Code, welcher ergänzt wurde, um die Übereinstimmung des Hostnamens eines Servers mit dessen Zertifikat zu überprüfen, war fehlerhaft. Durch Ausnutzen dieser Schwachstelle ist es einem entfernten, nicht authentisierten Angreifer, mittels eines präparierten, aber gültigen Zertifikates möglich, einen Man-in-Middle-Angriff durchzuführen.

Schwachstellen:

CVE-2012-5784

Schwachstelle in Apache Axis ermöglicht Darstellen falscher Informationen

CVE-2014-3596

Schwachstelle in Apache Axis aufgrund eines unvollständigen Fixes ermöglicht Darstellen falscher Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.