JBossWS 端點使用不安全的加密
medium Nessus Plugin ID 66190
語系:
概要
在遠端主機上執行的 Java 型 web 服務使用不安全的加密方法。說明
在 JBossWS 中實作並由遠端主機上的一或多個端點使用的 W3C XML 加密標準包含一個設計錯誤。此設計錯誤可讓未經驗證的遠端攻擊者透過選擇密文攻擊解密擷取的 SOAP 回應。此問題會影響在加密區塊鏈結 (CBC) 模式中使用的所有區塊加密。解決方案
將 JBoss 伺服器升級至供應商公告中列出的其中一個已修補版本,並啟用 galois/計數器模式 (GCM)。另請參閱
https://bugzilla.redhat.com/show_bug.cgi?id=681916
https://access.redhat.com/security/cve/cve-2011-1096
Plugin 詳細資訊
嚴重性: Medium
ID: 66190
檔案名稱: jboss_ws_xmlenc.nbin
版本: 1.84
類型: remote
系列: CGI abuses
已發布: 2013/4/23
已更新: 2024/3/19
支援的感應器: Nessus
風險資訊
VPR
風險因素: Low
分數: 3.4
CVSS v2
風險因素: Medium
基本分數: 5
時間分數: 4.1
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS 評分資料來源: CVE-2011-1096
弱點資訊
CPE: x-cpe:/a:jboss:jbossws
必要的 KB 項目: JBossWS
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2011/10/19
弱點發布日期: 2011/10/19
參考資訊
CVE: CVE-2011-1096
BID: 55770