Apache Axis不完整修复SSL证书验证绕过漏洞（CVE-2014-3596）

Apache Axis不完整修复SSL证书验证绕过漏洞（CVE-2014-3596）

发布日期：2014-08-20
更新日期：2014-08-21

受影响系统：
Apache Group Axis
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 69295
CVE(CAN) ID: CVE-2014-3596

Apache Axis 是一个全功能的Web服务实现框架，而 Axis2 是对 Axis1 的重构版本。

漏洞CVE-2012-5784的修复并不完整，检查服务器主机名是否匹配主题CN字段内的域名的代码内存在漏洞，这可使中间人攻击者用构造的主题欺骗有效的证书。

<*来源：David Jorm
        Arun Neelicattu
  *>

建议：
--------------------------------------------------------------------------------
厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://issues.apache.org/jira/secure/attachment/12662672/CVE-2014-3596.patch

参考：
https://issues.apache.org/jira/browse/AXIS-2905

本文永久更新链接地址：