Kann mir bitte jemand sagen, in welcher Version von Apache axis2 CVE-2012-5785 ein Problem besteht?
Direkt aus der Schwachstellenbeschreibung
Apache Axis2 / Java 1.6.2 und frühere Versionen überprüfen nicht, ob der Hostname des Servers mit einem Domänennamen im Feld Common Name (CN) oder SubjectAltName des Betreffs des X.509-Zertifikats übereinstimmt, wodurch Man-in-the-Middle-Angreifer die Möglichkeit haben, sich zu täuschen SSL-Server über ein beliebig gültiges Zertifikat.
Ich möchte darauf hinweisen, dass kein Release nach 1.6.2 speziell darauf hinweist, dass diese bestimmte Sicherheitsanfälligkeit behoben wurde. Sie sollten jedoch die aktuelle Version 1.7.7 verwenden, um die beste Chance zu haben, aufgrund zahlreicher Änderungen seit 2012 nicht anfällig zu sein. Ohne Code des Proofs of Concept ist es schwierig zu beweisen, dass die aktuelle Version immer noch anfällig ist. Es ist buchstäblich, dass der Fix als etwas anderes dokumentiert wurde und diese CVE im Änderungsprotokoll einfach nicht genannt hat