Apache CXF WS-SecurityPolicy身份验证绕过漏洞(CVE-2013-0239)

zzjvslove 2013-03-01

发布日期:2013-02-11
更新日期:2013-03-01

受影响系统:
Apache Group CXF
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 57876
CVE(CAN) ID: CVE-2013-0239

Apache CXF是一个开源服务框架,用于使用JAX-WS、JAX-RS等前端编程API编译和开发服务。

Apache CXF UsernameTokenPolicyValidator、UsernameTokenInterceptor允许UsernameToken在没有密码子元素时绕过身份验证。提供了错误的密码会验证失败,如果提供了空密码,会成功验证。此漏洞在依靠WS-SecurityPolicy纯文本UsernameTokens验证用户的Web访问上可利用,在使用哈希密码或没有WS-SecurityPolicy的WS-Security时不可利用。

<*来源:vendor
 
  链接:https://bugzilla.redhat.com/show_bug.cgi?id=905722
        https://issues.apache.org/jira/browse/CXF-4629
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://issues.apache.org/jira/browse/CXF/fixforversion/12323349
https://issues.apache.org/jira/browse/CXF/fixforversion/12323348
https://issues.apache.org/jira/browse/CXF/fixforversion/12323347

zzjvslove

zzjvslove

相关推荐

webservice初体验-cxf

最近一段时间,说忙也不是很忙,说闲但确实很少有时间能静下心来写点东西。但于我而言,做任何仪式感很重要,就算没时间坚持,那仪式感也不能丢,这是一种态度,也是最后的底线。今天的这篇推文,是很久以前就实践过了,前几天又整理了一下,上周没有发,本周必须要更新,不敢

newfarhui / 0评论 2020-01-18

WebService与Spring整合部署

-- 配置cxf框架 cxf-servlet.xml -->. -- 加载提供的服务 -->. return "服务器返回:" + content;

zhangxiaocc / 0评论 2019-12-06

Jboss EAP 6启用CXF日志

<logger category="org.apache.cxf"> <level name="INFO"/> </logger>. @WebService(serviceName

forliberty / 0评论 2015-05-04

Spring整合CXF webservice restful 实例

webservice restful接口跟soap协议的接口实现大同小异,只是在提供服务的类/接口的注解上存在差异,具体看下面的代码,然后自己对比下就可以了。38 public static void main throws IOException

Adolphlwq / 0评论 2017-08-10

Springboot整合cxf后不能访问controller,不能访问接口

springboot 1.4.X  <=========>  cxf-spring-boot-starter-jaxws 3.1.X. 成功集成cxf后,发现只有webservice服务可以正常使用,其他请求url全部无法正常访问。

newfarhui / 0评论 2019-10-23

CXF与Spring集成Web Service

使用MyEclipse8.5 首先创建一个Web工程,加入Spring框架支持。选择Spring3.0的版本,并且加入Spring3.0 Core包 和 Spring3.0 Web 2个包。编写服务接口以及接口实现类是,在类前加上@Web Service

neweastsun / 0评论 2013-12-07

Axis,axis2,Xfire以及cxf对比

xfire最新的版本为1.2.6 - May 3, 2007 网站已经说了“XFire is now CXF” --|||. cxf最新的版本为Feb 28, 2011 - Apache CXF 2.3.3 is released!现在只有axis2和cx

Selier / 0评论 2014-05-28

CXF发布webservice

@WebServicepublic interface xfiretestCXF {public String testmethod(String str);}. <!-- webservice 开始-->. <import resour

蜀川居 / 0评论 2017-10-16

SpringBoot 使用CXF 集成WebService 请求忽略命名空间

上一章我们介绍了如何用springBoot 来搭建一个WebService服务《SpringBoot 使用CXF 集成WebService》,还不了解的同学可以去看下。在使用CXF搭建的WebServic服务时,有个很不爽的地方就是请求必须带上命名空间。这

jianghuchuanke / 0评论 2019-09-05

几种常用的webservice客户端和spring集成的方法

项目需要,这两天系统要调一个webservice的服务,webservice的东西都扔了好几年了,怎么使用都忘得一干二净了。以前都是使用系统现成的框架掉一个方法就行了,现在几乎是从0开始一点一点搭建环境啊。总结一下,现在项目中很少用webservice了,

zhongjcbill / 0评论 2015-11-30

Axis

xfire最新的版本为1.2.6-May3,2007网站已经说了“XFireisnowCXF”--|||. 现在只有axis2和cxf官方有更新。XFire是与Axis2并列的新一代WebService平台。XFire采用Woodstox作Stax实现;在

xiajlxiajl / 0评论 2015-09-01

cxf集成spring,精简版

上次把webservice客户端接口,用注解注入到别的bean里,结果报错了。当时一直没有找到原因,现在回想,有可能是当时代码环境的问题,spring和cxf的配置都有些混乱。最近在搭建一个培训的框架,开发环境很纯净,上次那个问题没有再发生了。因此也简化了

industry0 / 0评论 2014-12-08

cxf +spring 发布webservice

-- 配置spring 监听器 -->. -- 配置CXF的核心Servlet -->. -- 通过初始化参数指定cxf配置文件的位置 -->

cloudspring / 0评论 2014-11-29

wsimport 天气出错 undefined element declaration s:schema

如果不保留xml文件或移动xml文件,需要将WeatherWebService中的第22行和第35行中的本地xml文件路径替换掉,最好为web路径

bobobocai / 0评论 2014-07-17

设置CXF的WebService客户端超时时长

  在使用WebService的时候,我们可能需要一个备份的WebService服务器.一旦主服务器down了,我们可以使用备份的服务器.那么这里就需要对客服端连接服务器的时间做一个修改.  在Spring+CXF的WebService环境下,客户端有两个

LunaZhang / 0评论 2012-06-11

CXF学习笔记三(发布restFul)

JAX-RS旨在定义一个统一的规范,使得Java程序员可以使用一套固定的接口来开发REST应用,避免了依赖第三方框架。同时JAX-RS使用POJO编程模型和基于注解的配置并集成JAXB,可以有效缩短REST应用的开发周期。JAX-RS只定义RESTful

89467606 / 0评论 2015-12-25

Axis,axis2,Xfire以及cxf对比

xfire最新的版本为1.2.6 - May 3, 2007 网站已经说了“XFire is now CXF” --|||. cxf最新的版本为Feb 28, 2011 - Apache CXF 2.3.3 is released!现在只有axis2和cx

iPro / 0评论 2014-05-28

CXF客户端对axis服务器的访问

CXF 和 axis都是非常不错的webservice的技术框架。最近项目需要了解了一下两个框架的访问。CXF客户端对对CXF服务器的访问,很简单。

LunaZhang / 0评论 2011-09-14

CXF发送、接收消息超时设置

在使用WebService时,我们通常都会在客户端中设置请求超时的限制,以避免长时间的去连接不可用的服务器。在CXF的环境下,客户端可通过两个属性配置超时限制:。ReceiveTimeout - 这个属性是发送WebService的请求后等待响应的时间,超

chenhualeguan / 0评论 2011-11-30

RPC框架是啥之Apache CXF一款WebService RPC框架入门教程

它可以说是一个功能齐全的集合。支持Web Service标准,包括SOAP规范、WSI Basic Profile...等等我也不了解的,这里就不一一举例了。支持多种传输协议和协议绑定、数据绑定。还是先从案例入手吧项目源码地址:RPC_Demo,记得是项目

青青木屋 / 0评论 2019-07-01

使用 CXF 做 webservice 简单例子

ApacheCXF是一个开放源代码框架,提供了用于方便地构建和开发Web服务的可靠基础架构。它允许创建高性能和可扩展的服务,您可以将这样的服务部署在Tomcat和基于Spring的轻量级容器中,以及部署在更高级的服务器上,例如Jboss、IBMWebSph

xiaoying / 0评论 2015-11-18

axis2与cxf的区别(转载)

新一代的 Web Services 框架如 Axis2、CXF 都是由现有的项目中逐渐演化而来的,Axis2 是由大家熟悉的 Axis 1.x 系列演化过来,而 Apache CXF 则是由 Celtix 和 XFire 项目整合而生,并且刚刚发布了 2.

fengtaijun / 0评论 2015-10-26

Apache CXF结合camel blueprint demo

cxf框架是apache的web service框架,提供简单易用的webservice功能,同时可以实现restful风格的soa。camel也是apache出品,他将request到response以route的形式进行处理,同时将response返回

dinux / 0评论 2015-09-01

Jboss EAP 6启用CXF日志

<logger category="org.apache.cxf"> <level name="INFO"/> </logger>. @WebService(serviceName

直须看尽洛城花 / 0评论 2015-05-04

Axis,axis2,Xfire以及cxf对比

xfire最新的版本为1.2.6 - May 3, 2007 网站已经说了“XFire is now CXF” --|||. cxf最新的版本为Feb 28, 2011 - Apache CXF 2.3.3 is released!现在只有axis2和cx

DGenerationX / 0评论 2015-01-29

webService学习之CXF spring jaxws:endpoint jaxws:server 区别 与 关系

是因为saaj.jar包引起的。在MyEclipse的编译环境-J2ee1.4library中存在jboss-saaj.jar与cxf需要的saaj.jar冲突。

程序员超哥 / 0评论 2014-11-26

Apache CXF

ApacheCXF是一个开源的,全功能的,容易使用的Web服务框架。CXF是两个项目的结合:由IONA技术公司开发的Celtix和由Codehaus主持的团队开发的XFire,合并是由人们在在Apache软件基金会共同完成的。CXF的名字来源于"

有瑕疵的老兵 / 0评论 2014-06-17

cxf+web service(一)Web Service和ApacheCXF介绍

最近在研究cxf 实现 web service.根据自己写的,然后根据网上的素材,编写了一套cxf 实现web service 的入门级文档,希望高手别喷我!

XHuiLin / 0评论 2014-05-05

WebService框架JWS、Axis2、XFire、CXF的区别

而从服务本身的角度来看JWS服务是没有语言界限的。这是它的优势所在。还有,目前很多企业的应用还是基于Java5的,而Java5的项目不会瞬间都升级到Java6,如果要在老项目上做扩展,我们还有赖于其他开源的WS引擎。

whoisyoya / 0评论 2013-12-11

RESTFUL实现主流框架 CXF、Restlet、RESTEasy、Jersey对比

、需求说明因为需要新增的系统调用接口使用了jsr311规范标准的REST架构的Web Service。考虑以后在产品中可能会经常使用到REST架构的WebService,针对主流的实现架构进行研究、测试,进行对比,找出相对较好的实现。性能上看RESTEas

87457215 / 0评论 2013-10-21

cxf rest jsonp

-- jsonp输出拦截器 配置了callback 拦截属性 属性-->

kaizhuQin / 0评论 2013-09-23

Spring整合CXF,发布RSETful 风格WebService

关于发布CXF WebServer和Spring整合CXF这里就不再多加赘述了。如果你对Spring整合CXF WebService不了解,具体你可以参看这两篇文章:。其中,比较常用的RESTful框架就有Jersey、Spring REST、CXF RE

jiuweideqixu / 0评论 2013-09-12

WebService CXF学习(高级篇3):WS-Security

但通常情况都接入互联网,那么我就得考虑信息安全问题,像前面那样直接将消息裸传,肯定不行。CXF可以结合WSS4J来对消息安全进行管理,可以使用令牌,X.509认证对消息头或内容进行加密。这个Demo是在CXF+Spring+Hibernate的基础修改而成

广西信息安全学会 / 0评论 2013-08-11

WebService CXF学习(进阶篇4):JAXB剖析

JAXB提供了一个快速而方便的方式绑定XML Schemas和java,使java程序员能够很方便的在java应用程序中处理XML数据。JAXB同样也提供了一种从java对象生成XML Schema的方式。在数据库环境中,则是把 Java 表示的数据存入数

especialjie / 0评论 2013-08-11

Unsatisfied dependency expressed through constructor argument with index

的错误。geronimo-servlet_2.5_spec-1.2.jar (or Sun's Servlet jar). <?xml version="1.0" encoding="UTF-8"?>

nengyu / 0评论 2013-05-29

cxf configuration

@WebService(endpointInterface="package.Service",servicename="Service"). returnresultList;<?xmlversion=&qu

XingKai / 0评论 2013-03-19

Apache CXF

Apache CXF 是一个Service框架,他简化了Service的创建, CXF实现了JAX-WS2.0规范,并通过了JAX-WS2.0 TCK; CXF和Spring无缝集成;CXF支持多种传输协议, 支持多种Binding数据格式, 支持多种Da

XingKai / 0评论 2013-03-07

CXF客户端普通java工程使用log4j

做cli命令行去调用webservice,该CXF客户端是一个普通java工程,需要使用log4j打日志。。Using Log4j Instead of java.util.logging As noted above, CXF uses the java

AndyXuq / 0评论 2012-12-27

CXF介绍

 Apache CXF = Celtix + XFire,Apache CXF 的前身叫 Apache CeltiXfire,现在已经正式更名为 Apache CXF 了,以下简称为 CXF。CXF 继承了 Celtix 和 XFire 两大开源项目的精华

Andrewtao00 / 0评论 2012-12-04

CXF发布webservice

-- webservice 结束 -->第四步

tengmuxin / 0评论 2017-10-16

ssh整合webservice cxf采用注解的方式+andriod客户端

Stringname);Stringpwd);Stringpwd);privateBaseDao<User>userDao;this.userDao=userDao;System.out.println("进入服务器端的sayHell

江巅 / 0评论 2012-10-17

解决 CXF 发送soap请求时由于缺少content-length

lighttpd 返回"411 Length require"字样的错误。同时,在lighttpd的err日志里面,有如下的错误信息。missing -> 411结果确定原因是cxf客户端调用时缺少了content-length属

ISEESTARS / 0评论 2012-09-14

myeclipse开发基于cxf的webservice

cxf-2.1.jar2.新建一个接口类:HelloWorld,如下:Java代码 package com.zx.cxf.service;}*@WebService:申明为webservice的注解*endpointInterface:要暴露的接口类*se

oldboy / 0评论 2012-08-15

将项目从Tomcat迁到WebLogic 11g的问题

玩Tomcat好多年了,从来没接触分配WebLogic,现在有项目需要使用WebLogic11g,结果开发好的项目扔上去后出现各种各样的鸟问题。花了整整一周时间才把问题扫清,很悲催,赶紧备忘一下。

87497118 / 0评论 2012-07-27

Apache CXF webservice框架学习笔记之一关于与spring3的结合

还有在官网中写了一个jaxws-api-2.1.jar包这个在apache-cxf-2.6.1的版本中是geronimo-jaxws_2.2_spec-1.1.jar包,有所不同.-- 创建客户端 -->

yanghuashuiyue / 0评论 2012-07-10

CXF使用笔记

第一次用CXF的服务端,写个简单的笔记。直接上maven的pom,里面嵌套引用了好多jar,看起来不是那么爽。</dependency>●二、写个简单的服务类(不写接口,懒。。没什么特别的,只有一个@WebService注解。return &q

ziyifengfei / 0评论 2012-05-02

webservice 文件上传下载之CXF restful

wsimport -extension -keep -encoding UTF-8 -d dist-s sourceswsdl\InspCertMgmt.xml. 本身没有什么难度 ,html5中可以获取到文件名字和文件长度 fastdfs 上传文件需要知

84560296 / 0评论 2016-08-12

Cannot find any registered HttpDestinationFactory from the Bus

not find artifact org.apache.cxf:cxf-rt-transports-http-jetty:jar:2.4.5-SNAPSHOT修改pom.xml. <artifactId>cxf-rt-transports-h

yixiaoqi00 / 0评论 2012-04-13

Cannot find any registered HttpDestinationFactory from the Bus

not find artifact org.apache.cxf:cxf-rt-transports-http-jetty:jar:2.4.5-SNAPSHOT修改pom.xml. <artifactId>cxf-rt-transports-h

XHuiLin / 0评论 2012-04-13

cxf spring 环境搭建

我们要做的第一件事就是给项目添加必要的CXF依赖这个库文件。你能找到这些依赖分布在CXF库目录。spring-web-3.0.5.RELEASE.jar添加cxf的jar文件cxf-2.5.2.jar2.写自己的service. 它有一个"say

taotaoSi / 0评论 2012-03-30