| Title | Java 用 OWASP ESAPI の対称暗号化の実装における暗号保護メカニズムを回避される脆弱性 |
|---|---|
| Summary | Java 用 OWASP Enterprise Security API (ESAPI) の対称暗号化の実装の Authenticated Encryption 機能は、シリアライズされた暗号文を伴った改ざんを適切に阻止しないため、暗号保護メカニズムを回避される脆弱性が存在します。 |
| Possible impacts | 第三者により、NULL の長さの MAC およびゼロの長さの MAC に関わるデフォルト設定の信頼性への攻撃を介して、暗号保護メカニズムを回避される可能性があります。 |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | Sept. 2, 2013, midnight |
| Registration Date | Oct. 1, 2013, 4:16 p.m. |
| Last Update | Oct. 24, 2013, 5:25 p.m. |
| CVSS2.0 : 注意 | |
| Score | 2.6 |
|---|---|
| Vector | AV:L/AC:H/Au:N/C:P/I:P/A:N |
| OWASP |
| OWASP Enterprise Security API 2.1.0 未満の 2.x |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2013年10月01日] 掲載 [2013年10月24日] CVSS による深刻度:内容を更新 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | The authenticated-encryption feature in the symmetric-encryption implementation in the OWASP Enterprise Security API (ESAPI) for Java 2.x before 2.1.0 does not properly resist tampering with serialized ciphertext, which makes it easier for remote attackers to bypass intended cryptographic protection mechanisms via an attack against authenticity in the default configuration, involving a null MAC and a zero MAC length. |
|---|---|
| Publication Date | Oct. 1, 2013, 2:09 a.m. |
| Registration Date | Jan. 26, 2021, 3:46 p.m. |
| Last Update | Nov. 21, 2024, 10:57 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:owasp:enterprise_security_api:2.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:owasp:enterprise_security_api:2.0.1:*:*:*:*:*:*:* | |||||