安科网

Apache CXF SAML SubjectConfirmation安全限制绕过漏洞

Apache0

Apache0

2014-10-29

关注 关注

发布日期:2014-10-24
更新日期:2014-10-29

受影响系统:
Apache Group CXF < 3.0.2
 Apache Group CXF < 2.7.13
描述:
BUGTRAQ  ID: 70736
 CVE(CAN) ID: CVE-2014-3623

 Apache CXF是一个开源服务框架,用于使用JAX-WS、JAX-RS等前端编程API编译和开发服务。

Apache CXF 2.7.13之前版本、Apache CXF 3.0.2之前版本与TransportBinding结合使用时,没有正确实现SAML SubjectConfirmation方法,在实现上存在安全限制绕过漏洞,攻击者可利用此漏洞绕过某些安全限制,执行欺骗攻击。

<*来源:Dario Amiri (GE Global Research)
  *>

建议:
厂商补丁:

Apache Group
 ------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

 

http://svn.apache.org/viewvc?view=revision&revision=1624308
http://svn.apache.org/viewvc?view=revision&revision=1624287
http://svn.apache.org/viewvc?view=revision&revision=1624262

参考:
http://cxf.apache.org/security-advisories.data/CVE-2014-3623.txt.asc?version=1&modificationDate=1414169368341&api=v2

Apache CXF 的详细介绍:请点这里
Apache CXF 的下载地址:请点这里

cxf apache saml

Apache0

Apache0

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

webservice初体验-cxf

最近一段时间,说忙也不是很忙,说闲但确实很少有时间能静下心来写点东西。但于我而言,做任何仪式感很重要,就算没时间坚持,那仪式感也不能丢,这是一种态度,也是最后的底线。今天的这篇推文,是很久以前就实践过了,前几天又整理了一下,上周没有发,本周必须要更新,不敢

newfarhui 2020-01-18

WebService与Spring整合部署

-- 配置cxf框架 cxf-servlet.xml -->. -- 加载提供的服务 -->. return "服务器返回:" + content;

zhangxiaocc 2019-12-06

Jboss EAP 6启用CXF日志

<logger category="org.apache.cxf"> <level name="INFO"/> </logger>. @WebService(serviceName

forliberty 2015-05-04

Spring整合CXF webservice restful 实例

webservice restful接口跟soap协议的接口实现大同小异,只是在提供服务的类/接口的注解上存在差异,具体看下面的代码,然后自己对比下就可以了。38 public static void main throws IOException

Adolphlwq 2017-08-10

Springboot整合cxf后不能访问controller,不能访问接口

springboot 1.4.X  <=========>  cxf-spring-boot-starter-jaxws 3.1.X. 成功集成cxf后,发现只有webservice服务可以正常使用,其他请求url全部无法正常访问。

newfarhui 2019-10-23

CXF与Spring集成Web Service

使用MyEclipse8.5 首先创建一个Web工程,加入Spring框架支持。选择Spring3.0的版本,并且加入Spring3.0 Core包 和 Spring3.0 Web 2个包。编写服务接口以及接口实现类是,在类前加上@Web Service

neweastsun 2013-12-07

Axis,axis2,Xfire以及cxf对比

xfire最新的版本为1.2.6 - May 3, 2007 网站已经说了“XFire is now CXF” --|||. cxf最新的版本为Feb 28, 2011 - Apache CXF 2.3.3 is released!现在只有axis2和cx

Selier 2014-05-28

CXF发布webservice

@WebServicepublic interface xfiretestCXF {public String testmethod(String str);}. <!-- webservice 开始-->. <import resour

蜀川居 2017-10-16

SpringBoot 使用CXF 集成WebService 请求忽略命名空间

上一章我们介绍了如何用springBoot 来搭建一个WebService服务《SpringBoot 使用CXF 集成WebService》,还不了解的同学可以去看下。在使用CXF搭建的WebServic服务时,有个很不爽的地方就是请求必须带上命名空间。这

jianghuchuanke 2019-09-05

几种常用的webservice客户端和spring集成的方法

项目需要,这两天系统要调一个webservice的服务,webservice的东西都扔了好几年了,怎么使用都忘得一干二净了。以前都是使用系统现成的框架掉一个方法就行了,现在几乎是从0开始一点一点搭建环境啊。总结一下,现在项目中很少用webservice了,

zhongjcbill 2015-11-30

Axis

xfire最新的版本为1.2.6-May3,2007网站已经说了“XFireisnowCXF”--|||. 现在只有axis2和cxf官方有更新。XFire是与Axis2并列的新一代WebService平台。XFire采用Woodstox作Stax实现;在

xiajlxiajl 2015-09-01

cxf集成spring,精简版

上次把webservice客户端接口,用注解注入到别的bean里,结果报错了。当时一直没有找到原因,现在回想,有可能是当时代码环境的问题,spring和cxf的配置都有些混乱。最近在搭建一个培训的框架,开发环境很纯净,上次那个问题没有再发生了。因此也简化了

industry0 2014-12-08

cxf +spring 发布webservice

-- 配置spring 监听器 -->. -- 配置CXF的核心Servlet -->. -- 通过初始化参数指定cxf配置文件的位置 -->

cloudspring 2014-11-29

wsimport 天气出错 undefined element declaration s:schema

如果不保留xml文件或移动xml文件,需要将WeatherWebService中的第22行和第35行中的本地xml文件路径替换掉,最好为web路径

bobobocai 2014-07-17

设置CXF的WebService客户端超时时长

  在使用WebService的时候,我们可能需要一个备份的WebService服务器.一旦主服务器down了,我们可以使用备份的服务器.那么这里就需要对客服端连接服务器的时间做一个修改.  在Spring+CXF的WebService环境下,客户端有两个

LunaZhang 2012-06-11

CXF学习笔记三(发布restFul)

JAX-RS旨在定义一个统一的规范,使得Java程序员可以使用一套固定的接口来开发REST应用,避免了依赖第三方框架。同时JAX-RS使用POJO编程模型和基于注解的配置并集成JAXB,可以有效缩短REST应用的开发周期。JAX-RS只定义RESTful

89467606 2015-12-25

Axis,axis2,Xfire以及cxf对比

xfire最新的版本为1.2.6 - May 3, 2007 网站已经说了“XFire is now CXF” --|||. cxf最新的版本为Feb 28, 2011 - Apache CXF 2.3.3 is released!现在只有axis2和cx

iPro 2014-05-28

CXF客户端对axis服务器的访问

CXF 和 axis都是非常不错的webservice的技术框架。最近项目需要了解了一下两个框架的访问。CXF客户端对对CXF服务器的访问,很简单。

LunaZhang 2011-09-14

CXF发送、接收消息超时设置

在使用WebService时,我们通常都会在客户端中设置请求超时的限制,以避免长时间的去连接不可用的服务器。在CXF的环境下,客户端可通过两个属性配置超时限制:。ReceiveTimeout - 这个属性是发送WebService的请求后等待响应的时间,超

chenhualeguan 2011-11-30

RPC框架是啥之Apache CXF一款WebService RPC框架入门教程

它可以说是一个功能齐全的集合。支持Web Service标准,包括SOAP规范、WSI Basic Profile...等等我也不了解的,这里就不一一举例了。支持多种传输协议和协议绑定、数据绑定。还是先从案例入手吧项目源码地址:RPC_Demo,记得是项目

青青木屋 2019-07-01
Apache0

Apache0

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号