Apache Axis不完整修复SSL证书验证绕过漏洞（CVE-2014-3596）

发布日期：2014-08-20
更新日期：2014-08-21受影响系统：
Apache Group Axis
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 69295
CVE（CAN） ID: CVE-2014-3596Apache Axis 是一个全功能的Web服务实现框架，而 Axis2 是对 Axis1 的重构版本。漏洞CVE-2012-5784的修复并不完整，检查服务器主机名是否匹配主题CN字段内的域名的代码内存在漏洞，这可使中间人攻击者用构造的主题欺骗有效的证书。<*来源：David Jorm
Arun Neelicattu
*>建议：
--------------------------------------------------------------------------------
厂商补丁：Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：https://issues.apache.org/jira/secure/attachment/12662672/CVE-2014-3596.patch参考：
https://issues.apache.org/jira/browse/AXIS-2905