OWASP ESAPI CBC模式HMAC身份验证绕过漏洞

文章由LinuxBoy分享于2019-04-02 03:04:20热评（269）

OWASP ESAPI CBC模式HMAC身份验证绕过漏洞

发布日期：2013-09-15
更新日期：2013-09-19

受影响系统：
OWASP ESAPI 2.0GA
OWASP ESAPI 2.0.1
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 62415
CVE ID: CVE-2013-5679

OWASP ESAPI是开源Web应用安全控件库。

ESAPI 2.0GA、2.0.1在CBC模式下使用ESAPI对称加密时，无法正确检查可信性，可使本地攻击者绕过安全限制，获取未授权访问权限。

<*来源：Kevin W. Wall

链接：http://xforce.iss.net/xforce/xfdb/87124
http://seclists.org/fulldisclosure/2013/Sep/99
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

OWASP
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.owasp.org/index.php/Category:OWASP_Stinger_Project

http://code.google.com/p/owasp-esapi-java/downloads/detail?name=esapi-2.1.0-dist.zip&can=2&q=#makechanges

推荐文章：

OWASP ESAPI身份验证绕过漏洞(CVE-2013-5960)

OWASP ESAPI CBC模式HMAC身份验证绕过漏洞