Podatność CVE-2011-4314
Publikacja: 2012-01-27   Modyfikacja: 2012-02-13

Opis:
message/ax/AxMessage.java in OpenID4Java before 0.9.6 final, as used in JBoss Enterprise Application Platform 5.1 before 5.1.2, Step2, Kay Framework before 1.0.2, and possibly other products does not verify that Attribute Exchange (AX) information is signed, which allows remote attackers to modify potentially sensitive AX information without detection via a man-in-the-middle (MITM) attack.

CVSS2 => (AV:N/AC:M/Au:N/C:N/I:P/A:P)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
5.8/10
4.9/10
8.6/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Średnia
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Brak
Częściowy
Częściowy
Affected software
Redhat -> Jboss enterprise application platform 
Openid -> Openid4java 
Kay framework project -> Kay framework 

 Referencje:
http://openid.net/2011/05/05/attribute-exchange-security-alert/
https://issues.jboss.org/browse/SOA-3597
https://issues.jboss.org/browse/JBEPP-1368
http://www.redhat.com/support/errata/RHSA-2011-1804.html
http://www.openwall.com/lists/oss-security/2011/11/17/1
http://www.openwall.com/lists/oss-security/2011/11/16/1
http://securitytracker.com/id?1026400
http://secunia.com/advisories/48954
http://secunia.com/advisories/48697
http://secunia.com/advisories/44496
http://rhn.redhat.com/errata/RHSA-2012-0519.html
http://rhn.redhat.com/errata/RHSA-2012-0441.html
Copyright 2024, cxsecurity.com

 

Back to Top