Vulnerabilidad en un archivo del almacén de claves JWK "as is" en el parámetro de configuración "rs.security.keystore.type" en Apache CXF entregado con un servicio OpenId Connect JWK Keys (CVE-2019-12423)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-522
Credenciales insuficientemente protegidas
Fecha de publicación:
16/01/2020
Última modificación:
07/11/2023
Descripción
Apache CXF entregado con un servicio OpenId Connect JWK Keys, que permite al cliente obtener las claves públicas en formato JWK, que luego pueden ser usadas para comprobar la firma de los tokens emitidos por parte del servicio. Normalmente, el servicio obtiene la clave pública de un almacén de claves local (JKS/PKCS12) mediante la especificación de la ruta del almacén de claves y el alias de la entrada del almacén de claves. Este caso no es vulnerable. Sin embargo, también es posible obtener las claves de un archivo del almacén de claves JWK, estableciendo el parámetro de configuración "rs.security.keystore.type" en "jwk". Para este caso, todas las claves son devueltas a este archivo "as is", incluyendo todas las credenciales de clave privada y clave secreta. Este es un riesgo de seguridad obvio si el usuario ha configurado el archivo de almacén de claves de firma con credenciales de clave privada o secreta. Desde CXF versiones 3.3.5 y 3.2.12, es obligatorio especificar un alias correspondiente al id de la clave en el archivo JWK, y solo esta clave es devuelta. Además, cualquier información de clave privada es omitida por defecto. Las claves "oct", que contienen claves secretas, no son devueltas en absoluto.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:cxf:*:*:*:*:*:*:*:* | 3.2.12 (excluyendo) | |
| cpe:2.3:a:apache:cxf:*:*:*:*:*:*:*:* | 3.3.0 (incluyendo) | 3.3.5 (excluyendo) |
| cpe:2.3:a:oracle:commerce_guided_search:11.3.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:communications_diameter_signaling_router:*:*:*:*:*:*:*:* | 8.0.0 (incluyendo) | 8.2.2 (incluyendo) |
| cpe:2.3:a:oracle:communications_element_manager:*:*:*:*:*:*:*:* | 8.2.0 (incluyendo) | 8.2.2 (incluyendo) |
| cpe:2.3:a:oracle:communications_session_report_manager:*:*:*:*:*:*:*:* | 8.2.0 (incluyendo) | 8.2.2 (incluyendo) |
| cpe:2.3:a:oracle:communications_session_route_manager:8.1.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:communications_session_route_manager:8.2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:communications_session_route_manager:8.2.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:flexcube_private_banking:12.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:flexcube_private_banking:12.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:retail_order_broker:15.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://cxf.apache.org/security-advisories.data/CVE-2019-12423.txt.asc?version=1&modificationDate=1579178393000&api=v2
- https://lists.apache.org/thread.html/r36e44ffc1a9b365327df62cdfaabe85b9a5637de102cea07d79b2dbf%40%3Ccommits.cxf.apache.org%3E
- https://lists.apache.org/thread.html/rd49aabd984ed540c8ff7916d4d79405f3fa311d2fdbcf9ed307839a6%40%3Ccommits.cxf.apache.org%3E
- https://lists.apache.org/thread.html/rd588ff96f18563aeb5f87ac8c6bce7aae86cb1a4d4be483f96e7208c%40%3Cannounce.apache.org%3E
- https://lists.apache.org/thread.html/rec7160382badd3ef4ad017a22f64a266c7188b9ba71394f0d321e2d4%40%3Ccommits.cxf.apache.org%3E
- https://lists.apache.org/thread.html/rfb87e0bf3995e7d560afeed750fac9329ff5f1ad49da365129b7f89e%40%3Ccommits.cxf.apache.org%3E
- https://lists.apache.org/thread.html/rff42cfa5e7d75b7c1af0e37589140a8f1999e578a75738740b244bd4%40%3Ccommits.cxf.apache.org%3E
- https://www.oracle.com/security-alerts/cpuApr2021.html
- https://www.oracle.com/security-alerts/cpujul2020.html
- https://www.oracle.com/security-alerts/cpuoct2020.html