Vulnerabilità: CVE-2019-12423

navi Apache CXF con un servizio OpenID Connect JWK Keys, che permette ad un client di ottenere le chiavi pubbliche in formato JWK, che possono poi essere utilizzati per verificare la firma di token rilasciato dal servizio. In genere, il servizio ottiene la chiave pubblica da un archivio di chiavi locale (JKS / PKCS12) dal specificando il percorso del keystore e l’alias della voce chiavi. Questo caso non è vulnerabile. Tuttavia è anche possibile ottenere le chiavi da un file di archivio chiavi JWK, impostando il parametro di configurazione ""rs.security.keystore.type"" a ""JWK"". Per questo caso tutti i tasti vengono restituiti in questo file ""così com’è"", compresi tutti chiave privata e le credenziali chiave segreta. Si tratta di un evidente rischio per la sicurezza se l’utente ha configurato il file di archivio chiavi di firma con le credenziali chiave privata o segreta. Da CXF 3.3.5 e 3.2.12, è obbligatorio specificare un alias corrispondente all’ID della chiave nel file JWK, e solo questa chiave viene restituito. Inoltre, tutte le informazioni chiave privata viene omessa per impostazione predefinita. chiavi ""Oct"", che contengono le chiavi segrete, non vengono restituiti a tutti.


http://cxf.apache.org/security-advisories.data/CVE-2019-12423.txt.asc?version=1&modificationDate=1579178393000&api=v2
http://cxf.apache.org/security-advisories.data/CVE-2019-12423.txt.asc?version=1&modificationDate=1579178393000&api=v2
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
https://lists.apache.org/thread.html/rd588ff96f18563aeb5f87ac8c6bce7aae86cb1a4d4be483f96e7208c@%3Cannounce.apache.org%3E
https://lists.apache.org/thread.html/r36e44ffc1a9b365327df62cdfaabe85b9a5637de102cea07d79b2dbf@%3Ccommits.cxf.apache.org%3E
https://lists.apache.org/thread.html/rff42cfa5e7d75b7c1af0e37589140a8f1999e578a75738740b244bd4@%3Ccommits.cxf.apache.org%3E
https://lists.apache.org/thread.html/rd49aabd984ed540c8ff7916d4d79405f3fa311d2fdbcf9ed307839a6@%3Ccommits.cxf.apache.org%3E
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12423


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi