製品・ソフトウェアに関する情報

JVN脆弱性詳細

Apache CXF における脆弱な暗号化アルゴリズムを使用するように強制される脆弱性

タイトル	Apache CXF における脆弱な暗号化アルゴリズムを使用するように強制される脆弱性
概要	Apache CXF は、復号の前に WS-SecurityPolicy の AlgorithmSuite 定義により許可された指定の暗号化アルゴリズムが有効であるかどうか検証しないため、CXF が意図しない脆弱な暗号化アルゴリズムを使用するように強制され、容易に通信を復号 (decrypt communication) される脆弱性が存在します。本脆弱性は、XML 暗号化の後方互換性攻撃 (XML Encryption backwards compatibility attack) と呼ばれています。
想定される影響	第三者により、CXF が意図しない脆弱な暗号化アルゴリズムを使用するように強制され、容易に通信を復号 (decrypt communications) される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2013年5月28日0:00
登録日	2013年8月21日19:05
最終更新日	2013年11月21日18:10

CVSS2.0 : 警告
スコア	6.4
ベクター	AV:N/AC:L/Au:N/C:P/I:P/A:N

影響を受けるシステム

レッドハット

JBoss Enterprise Application Platform

JBoss Enterprise Web Platform

Red Hat JBoss Fuse ESB Enterprise

Red Hat JBoss Portal

Red Hat JBoss SOA Platform

Apache Software Foundation

Apache CXF 2.5.10 未満の 2.5.x

Apache CXF 2.6.7 未満の 2.6.x

Apache CXF 2.7.4 未満の 2.7.x

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Apache CXF
1	CVE-2012-5575	http://cxf.apache.org/cve-2012-5575.html
Common Vulnerabilities and Exposures (CVE)
2	CVE-2012-5575	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5575
National Vulnerability Database (NVD)
3	CVE-2012-5575	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5575

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-310	https://jvndb.jvn.jp/ja/cwe/CWE-310.html

ベンダー情報

No	名前	URL
Red Hat Bugzilla
1	Bug 880443	https://bugzilla.redhat.com/show_bug.cgi?id=880443
Red Hat Security Advisory
2	RHSA-2013:0833	http://rhn.redhat.com/errata/RHSA-2013-0833.html
3	RHSA-2013:0834	http://rhn.redhat.com/errata/RHSA-2013-0834.html
4	RHSA-2013:0839	http://rhn.redhat.com/errata/RHSA-2013-0839.html
5	RHSA-2013:0873	http://rhn.redhat.com/errata/RHSA-2013-0873.html
6	RHSA-2013:0874	http://rhn.redhat.com/errata/RHSA-2013-0874.html
7	RHSA-2013:0875	http://rhn.redhat.com/errata/RHSA-2013-0875.html
8	RHSA-2013:0876	http://rhn.redhat.com/errata/RHSA-2013-0876.html
9	RHSA-2013:0943	http://rhn.redhat.com/errata/RHSA-2013-0943.html
10	RHSA-2013:1028	http://rhn.redhat.com/errata/RHSA-2013-1028.html
11	RHSA-2013:1143	http://rhn.redhat.com/errata/RHSA-2013-1143.html
12	RHSA-2013:1437	http://rhn.redhat.com/errata/RHSA-2013-1437.html

変更履歴

No	変更内容	変更日
0	[2013年08月21日] 掲載 [2013年11月21日] ベンダ情報：レッドハット (RHSA-2013:0833) を追加ベンダ情報：レッドハット (RHSA-2013:0834) を追加ベンダ情報：レッドハット (RHSA-2013:0839) を追加ベンダ情報：レッドハット (RHSA-2013:0875) を追加ベンダ情報：レッドハット (RHSA-2013:1437) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2012-5575

概要	Apache CXF 2.5.x before 2.5.10, 2.6.x before CXF 2.6.7, and 2.7.x before CXF 2.7.4 does not verify that a specified cryptographic algorithm is allowed by the WS-SecurityPolicy AlgorithmSuite definition before decrypting, which allows remote attackers to force CXF to use weaker cryptographic algorithms than intended and makes it easier to decrypt communications, aka "XML Encryption backwards compatibility attack."
公表日	2013年8月20日8:55
登録日	2021年1月28日15:06
最終更新日	2024年11月21日10:44

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:apache:cxf:2.5.2:::::::*
cpe:2.3:a:apache:cxf:2.5.9:::::::*
cpe:2.3:a:redhat:jboss_enterprise_web_platform:5.2.0:::::::*
cpe:2.3:a:redhat:jboss_enterprise_soa_platform:4.3.0:::::::*
cpe:2.3:a:apache:cxf:2.6.0:::::::*
cpe:2.3:a:apache:cxf:2.5.3:::::::*
cpe:2.3:a:apache:cxf:2.7.3:::::::*
cpe:2.3:a:apache:cxf:2.5.7:::::::*
cpe:2.3:a:redhat:jboss_fuse_esb_enterprise:7.1.0:::::::*
cpe:2.3:a:apache:cxf:2.6.2:::::::*
cpe:2.3:a:apache:cxf:2.5.0:::::::*
cpe:2.3:a:apache:cxf:2.5.1:::::::*
cpe:2.3:a:apache:cxf:2.5.5:::::::*
cpe:2.3:a:apache:cxf:2.5.8:::::::*
cpe:2.3:a:apache:cxf:2.6.5:::::::*
cpe:2.3:a:apache:cxf:2.7.0:::::::*
cpe:2.3:a:apache:cxf:2.6.6:::::::*
cpe:2.3:a:apache:cxf:2.6.3:::::::*
cpe:2.3:a:redhat:jboss_enterprise_portal_platform:4.3.0:::::::*
cpe:2.3:a:apache:cxf:2.5.6:::::::*
cpe:2.3:a:apache:cxf:2.6.4:::::::*
cpe:2.3:a:apache:cxf:2.6.1:::::::*
cpe:2.3:a:apache:cxf:2.7.1:::::::*
cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.0.0:::::::*
cpe:2.3:a:apache:cxf:2.5.4:::::::*
cpe:2.3:a:apache:cxf:2.7.2:::::::*

関連情報、対策とツール

No	URL	タグ
1	http://cxf.apache.org/cve-2012-5575.html
2	http://cxf.apache.org/cve-2012-5575.html
3	http://rhn.redhat.com/errata/RHSA-2013-0833.html
4	http://rhn.redhat.com/errata/RHSA-2013-0833.html
5	http://rhn.redhat.com/errata/RHSA-2013-0834.html
6	http://rhn.redhat.com/errata/RHSA-2013-0834.html
7	http://rhn.redhat.com/errata/RHSA-2013-0839.html
8	http://rhn.redhat.com/errata/RHSA-2013-0839.html
9	http://rhn.redhat.com/errata/RHSA-2013-0873.html	Vendor Advisory
10	http://rhn.redhat.com/errata/RHSA-2013-0873.html	Vendor Advisory
11	http://rhn.redhat.com/errata/RHSA-2013-0874.html	Vendor Advisory
12	http://rhn.redhat.com/errata/RHSA-2013-0874.html	Vendor Advisory
13	http://rhn.redhat.com/errata/RHSA-2013-0875.html
14	http://rhn.redhat.com/errata/RHSA-2013-0875.html
15	http://rhn.redhat.com/errata/RHSA-2013-0876.html	Vendor Advisory
16	http://rhn.redhat.com/errata/RHSA-2013-0876.html	Vendor Advisory
17	http://rhn.redhat.com/errata/RHSA-2013-0943.html	Vendor Advisory
18	http://rhn.redhat.com/errata/RHSA-2013-0943.html	Vendor Advisory
19	http://rhn.redhat.com/errata/RHSA-2013-1028.html
20	http://rhn.redhat.com/errata/RHSA-2013-1028.html
21	http://rhn.redhat.com/errata/RHSA-2013-1143.html	Vendor Advisory
22	http://rhn.redhat.com/errata/RHSA-2013-1143.html	Vendor Advisory
23	http://rhn.redhat.com/errata/RHSA-2013-1437.html
24	http://rhn.redhat.com/errata/RHSA-2013-1437.html
25	http://www.nds.ruhr-uni-bochum.de/research/publications/backwards-compatibility/
26	http://www.nds.ruhr-uni-bochum.de/research/publications/backwards-compatibility/
27	http://www.securityfocus.com/bid/60043
28	http://www.securityfocus.com/bid/60043
29	https://bugzilla.redhat.com/show_bug.cgi?id=880443
30	https://bugzilla.redhat.com/show_bug.cgi?id=880443
31	https://lists.apache.org/thread.html/r36e44ffc1a9b365327df62cdfaabe85b9a5637de102cea07d79b2dbf%40%3Ccommits.cxf.apache.org%3E
32	https://lists.apache.org/thread.html/r36e44ffc1a9b365327df62cdfaabe85b9a5637de102cea07d79b2dbf%40%3Ccommits.cxf.apache.org%3E
33	https://lists.apache.org/thread.html/rc774278135816e7afc943dc9fc78eb0764f2c84a2b96470a0187315c%40%3Ccommits.cxf.apache.org%3E
34	https://lists.apache.org/thread.html/rc774278135816e7afc943dc9fc78eb0764f2c84a2b96470a0187315c%40%3Ccommits.cxf.apache.org%3E
35	https://lists.apache.org/thread.html/rd49aabd984ed540c8ff7916d4d79405f3fa311d2fdbcf9ed307839a6%40%3Ccommits.cxf.apache.org%3E
36	https://lists.apache.org/thread.html/rd49aabd984ed540c8ff7916d4d79405f3fa311d2fdbcf9ed307839a6%40%3Ccommits.cxf.apache.org%3E
37	https://lists.apache.org/thread.html/rec7160382badd3ef4ad017a22f64a266c7188b9ba71394f0d321e2d4%40%3Ccommits.cxf.apache.org%3E
38	https://lists.apache.org/thread.html/rec7160382badd3ef4ad017a22f64a266c7188b9ba71394f0d321e2d4%40%3Ccommits.cxf.apache.org%3E
39	https://lists.apache.org/thread.html/rfb87e0bf3995e7d560afeed750fac9329ff5f1ad49da365129b7f89e%40%3Ccommits.cxf.apache.org%3E
40	https://lists.apache.org/thread.html/rfb87e0bf3995e7d560afeed750fac9329ff5f1ad49da365129b7f89e%40%3Ccommits.cxf.apache.org%3E
41	https://lists.apache.org/thread.html/rff42cfa5e7d75b7c1af0e37589140a8f1999e578a75738740b244bd4%40%3Ccommits.cxf.apache.org%3E
42	https://lists.apache.org/thread.html/rff42cfa5e7d75b7c1af0e37589140a8f1999e578a75738740b244bd4%40%3Ccommits.cxf.apache.org%3E

共通脆弱性一覧

構成1	以上	以下	より上	未満
cpe:2.3:a:apache:cxf:2.5.2:::::::*
cpe:2.3:a:apache:cxf:2.5.9:::::::*
cpe:2.3:a:redhat:jboss_enterprise_web_platform:5.2.0:::::::*
cpe:2.3:a:redhat:jboss_enterprise_soa_platform:4.3.0:::::::*
cpe:2.3:a:apache:cxf:2.6.0:::::::*
cpe:2.3:a:apache:cxf:2.5.3:::::::*
cpe:2.3:a:apache:cxf:2.7.3:::::::*
cpe:2.3:a:apache:cxf:2.5.7:::::::*
cpe:2.3:a:redhat:jboss_fuse_esb_enterprise:7.1.0:::::::*
cpe:2.3:a:apache:cxf:2.6.2:::::::*
cpe:2.3:a:apache:cxf:2.5.0:::::::*
cpe:2.3:a:apache:cxf:2.5.1:::::::*
cpe:2.3:a:apache:cxf:2.5.5:::::::*
cpe:2.3:a:apache:cxf:2.5.8:::::::*
cpe:2.3:a:apache:cxf:2.6.5:::::::*
cpe:2.3:a:apache:cxf:2.7.0:::::::*
cpe:2.3:a:apache:cxf:2.6.6:::::::*
cpe:2.3:a:apache:cxf:2.6.3:::::::*
cpe:2.3:a:redhat:jboss_enterprise_portal_platform:4.3.0:::::::*
cpe:2.3:a:apache:cxf:2.5.6:::::::*
cpe:2.3:a:apache:cxf:2.6.4:::::::*
cpe:2.3:a:apache:cxf:2.6.1:::::::*
cpe:2.3:a:apache:cxf:2.7.1:::::::*
cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.0.0:::::::*
cpe:2.3:a:apache:cxf:2.5.4:::::::*
cpe:2.3:a:apache:cxf:2.7.2:::::::*