| タイトル | Java 用 OWASP ESAPI の対称暗号化の実装における暗号保護メカニズムを回避される脆弱性 |
|---|---|
| 概要 | Java 用 OWASP Enterprise Security API (ESAPI) の対称暗号化の実装の Authenticated Encryption 機能は、シリアライズされた暗号文を伴った改ざんを適切に阻止しないため、暗号保護メカニズムを回避される脆弱性が存在します。 |
| 想定される影響 | 第三者により、NULL の長さの MAC およびゼロの長さの MAC に関わるデフォルト設定の信頼性への攻撃を介して、暗号保護メカニズムを回避される可能性があります。 |
| 対策 | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2013年9月2日0:00 |
| 登録日 | 2013年10月1日16:16 |
| 最終更新日 | 2013年10月24日17:25 |
| CVSS2.0 : 注意 | |
| スコア | 2.6 |
|---|---|
| ベクター | AV:L/AC:H/Au:N/C:P/I:P/A:N |
| OWASP |
| OWASP Enterprise Security API 2.1.0 未満の 2.x |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2013年10月01日] 掲載 [2013年10月24日] CVSS による深刻度:内容を更新 |
2018年2月17日10:37 |
| 概要 | The authenticated-encryption feature in the symmetric-encryption implementation in the OWASP Enterprise Security API (ESAPI) for Java 2.x before 2.1.0 does not properly resist tampering with serialized ciphertext, which makes it easier for remote attackers to bypass intended cryptographic protection mechanisms via an attack against authenticity in the default configuration, involving a null MAC and a zero MAC length. |
|---|---|
| 公表日 | 2013年10月1日2:09 |
| 登録日 | 2021年1月26日15:46 |
| 最終更新日 | 2024年11月21日10:57 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:owasp:enterprise_security_api:2.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:owasp:enterprise_security_api:2.0.1:*:*:*:*:*:*:* | |||||