Vulnerabilidad en Apache CXF (CVE-2018-8039)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
02/07/2018
Última modificación:
07/11/2023
Descripción
Es posible configurar Apache CXF para que use la implementación com.sun.net.ssl a través de "System.setProperty("java.protocol.handler.pkgs" "com.sun.net.ssl.internal.www.protocol");". Cuando se establece esta propiedad de sistema, CXF utiliza determinada reflexión para intentar hacer que HostnameVerifier funcione con la antigua interfaz com.sun.net.ssl.HostnameVerifier. Sin embargo, la implementación predeterminada de HostnameVerifier en CXF no implementa el método en esta interfaz y se lanza una excepción. Sin embargo, en Apache CXF en versiones anteriores a la 3.2.5 y 3.1.16, la excepción queda atrapada en el código de reflexión y no se propaga correctamente. Esto significa que, si está utilizando la pila com.sun.net.ssl con CXF, no se producirá un error con la verificación del nombre de host TLS, lo que dejará a un cliente CXF sujeto a ataques Man-in-the-Middle (MitM).
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:cxf:*:*:*:*:*:*:*:* | 3.1.16 (excluyendo) | |
| cpe:2.3:a:apache:cxf:*:*:*:*:*:*:*:* | 3.2.0 (incluyendo) | 3.2.5 (excluyendo) |
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:7.1.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://cxf.apache.org/security-advisories.data/CVE-2018-8039.txt.asc?version=1&modificationDate=1530184663000&api=v2
- http://www.securityfocus.com/bid/106357
- http://www.securitytracker.com/id/1041199
- https://access.redhat.com/errata/RHSA-2018:2276
- https://access.redhat.com/errata/RHSA-2018:2277
- https://access.redhat.com/errata/RHSA-2018:2279
- https://access.redhat.com/errata/RHSA-2018:2423
- https://access.redhat.com/errata/RHSA-2018:2424
- https://access.redhat.com/errata/RHSA-2018:2425
- https://access.redhat.com/errata/RHSA-2018:2428
- https://access.redhat.com/errata/RHSA-2018:2643
- https://access.redhat.com/errata/RHSA-2018:3768
- https://access.redhat.com/errata/RHSA-2018:3817
- https://github.com/apache/cxf/commit/fae6fabf9bd7647f5e9cb68897a7d72b545b741b
- https://lists.apache.org/thread.html/1f8ff31df204ad0374ab26ad333169e0387a5e7ec92422f337431866%40%3Cdev.cxf.apache.org%3E
- https://lists.apache.org/thread.html/r36e44ffc1a9b365327df62cdfaabe85b9a5637de102cea07d79b2dbf%40%3Ccommits.cxf.apache.org%3E
- https://lists.apache.org/thread.html/rc774278135816e7afc943dc9fc78eb0764f2c84a2b96470a0187315c%40%3Ccommits.cxf.apache.org%3E
- https://lists.apache.org/thread.html/rd49aabd984ed540c8ff7916d4d79405f3fa311d2fdbcf9ed307839a6%40%3Ccommits.cxf.apache.org%3E
- https://lists.apache.org/thread.html/rec7160382badd3ef4ad017a22f64a266c7188b9ba71394f0d321e2d4%40%3Ccommits.cxf.apache.org%3E
- https://lists.apache.org/thread.html/rfb87e0bf3995e7d560afeed750fac9329ff5f1ad49da365129b7f89e%40%3Ccommits.cxf.apache.org%3E
- https://lists.apache.org/thread.html/rff42cfa5e7d75b7c1af0e37589140a8f1999e578a75738740b244bd4%40%3Ccommits.cxf.apache.org%3E
- https://www.oracle.com/security-alerts/cpuapr2020.html
- https://www.oracle.com/security-alerts/cpujan2020.html
- https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html