Все бюллетени/sisyphus/ALT-PU-2017-3639-1
ALT-PU-2017-3639-1

Обновление пакета cxf в ветке sisyphus

Версия3.1.6-alt1_5jpp8
Задание#193043
Опубликовано2017-11-03
Макс. серьёзностьMEDIUM
Серьёзность:

Закрытые проблемы (5)

BDU:2022-06637
MEDIUM5.3

Уязвимость программного средства Apache WSS4J, связанная с недостатками процедуры аутентификации, позволяющая нарушителю обойти процесс аутентификации

Опубликовано: 2022-11-07
CVSS 3.xСРЕДНЯЯ 5.3
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
CVSS 2.0СРЕДНЯЯ 5.0
CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:P/A:N
Ссылки
CVE-2014-3623
MEDIUM5.0

Apache WSS4J before 1.6.17 and 2.x before 2.0.2, as used in Apache CXF 2.7.x before 2.7.13 and 3.0.x before 3.0.2, when using TransportBinding, does not properly enforce the SAML SubjectConfirmation method security semantics, which allows remote attackers to conduct spoofing attacks via unspecified vectors.

Опубликовано: 2014-10-30Изменено: 2025-04-12
CVSS 2.0СРЕДНЯЯ 5.0
CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:P/A:N
Ссылки
CVE-2015-5253
MEDIUM4.0

The SAML Web SSO module in Apache CXF before 2.7.18, 3.0.x before 3.0.7, and 3.1.x before 3.1.3 allows remote authenticated users to bypass authentication via a crafted SAML response with a valid signed assertion, related to a "wrapping attack."

Опубликовано: 2015-11-18Изменено: 2025-04-12
CVSS 2.0СРЕДНЯЯ 4.0
CVSS:2.0/AV:N/AC:L/Au:S/C:N/I:P/A:N
Ссылки
GHSA-3336-h95j-hvvf
NONE

Improper Access Control in Apache CXF

Опубликовано: 2022-05-13Изменено: 2023-12-22
Ссылки
GHSA-99v3-9x35-c5vf
NONE

Improper Authentication in Apache WSS4J

Опубликовано: 2022-05-13Изменено: 2022-07-08
Ссылки