Apache CXF SAML SubjectConfirmation安全限制绕过漏洞

Apache0 2014-10-29

发布日期：2014-10-24
更新日期：2014-10-29

受影响系统：
Apache Group CXF < 3.0.2
Apache Group CXF < 2.7.13
描述：
BUGTRAQ ID: 70736
CVE(CAN) ID: CVE-2014-3623

Apache CXF是一个开源服务框架，用于使用JAX-WS、JAX-RS等前端编程API编译和开发服务。

Apache CXF 2.7.13之前版本、Apache CXF 3.0.2之前版本与TransportBinding结合使用时，没有正确实现SAML SubjectConfirmation方法，在实现上存在安全限制绕过漏洞，攻击者可利用此漏洞绕过某些安全限制，执行欺骗攻击。

<*来源：Dario Amiri (GE Global Research)
*>

建议：
厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://svn.apache.org/viewvc?view=revision&revision=1624308
http://svn.apache.org/viewvc?view=revision&revision=1624287
http://svn.apache.org/viewvc?view=revision&revision=1624262

参考：
http://cxf.apache.org/security-advisories.data/CVE-2014-3623.txt.asc?version=1&modificationDate=1414169368341&api=v2

Apache CXF 的详细介绍：请点这里
Apache CXF 的下载地址：请点这里

: Apache0

相关推荐

webservice初体验-cxf

最近一段时间，说忙也不是很忙，说闲但确实很少有时间能静下心来写点东西。但于我而言，做任何仪式感很重要，就算没时间坚持，那仪式感也不能丢，这是一种态度，也是最后的底线。今天的这篇推文，是很久以前就实践过了，前几天又整理了一下，上周没有发，本周必须要更新，不敢

newfarhui 0喜欢 / 0评论 2020-01-18

WebService与Spring整合部署

-- 配置cxf框架 cxf-servlet.xml -->. -- 加载提供的服务 -->. return "服务器返回：" + content;

zhangxiaocc 0喜欢 / 0评论 2019-12-06

Jboss EAP 6启用CXF日志

<logger category="org.apache.cxf"> <level name="INFO"/> </logger>. @WebService(serviceName

forliberty 0喜欢 / 0评论 2015-05-04

Spring整合CXF webservice restful 实例

webservice restful接口跟soap协议的接口实现大同小异，只是在提供服务的类/接口的注解上存在差异，具体看下面的代码，然后自己对比下就可以了。38 public static void main throws IOException

Adolphlwq 0喜欢 / 0评论 2017-08-10

Springboot整合cxf后不能访问controller,不能访问接口

springboot 1.4.X　　<=========>　　cxf-spring-boot-starter-jaxws 3.1.X. 成功集成cxf后，发现只有webservice服务可以正常使用，其他请求url全部无法正常访问。

newfarhui 0喜欢 / 0评论 2019-10-23

CXF与Spring集成Web Service

使用MyEclipse8.5 首先创建一个Web工程，加入Spring框架支持。选择Spring3.0的版本，并且加入Spring3.0 Core包和 Spring3.0 Web 2个包。编写服务接口以及接口实现类是，在类前加上@Web Service

neweastsun 0喜欢 / 0评论 2013-12-07

Axis，axis2，Xfire以及cxf对比

xfire最新的版本为1.2.6 - May 3, 2007 网站已经说了“XFire is now CXF” --|||. cxf最新的版本为Feb 28, 2011 - Apache CXF 2.3.3 is released!现在只有axis2和cx

Selier 0喜欢 / 0评论 2014-05-28

CXF发布webservice

@WebServicepublic interface xfiretestCXF {public String testmethod(String str);}. . <import resour

蜀川居 0喜欢 / 0评论 2017-10-16

SpringBoot 使用CXF 集成WebService 请求忽略命名空间

上一章我们介绍了如何用springBoot 来搭建一个WebService服务《SpringBoot 使用CXF 集成WebService》，还不了解的同学可以去看下。在使用CXF搭建的WebServic服务时，有个很不爽的地方就是请求必须带上命名空间。这

jianghuchuanke 0喜欢 / 0评论 2019-09-05

几种常用的webservice客户端和spring集成的方法

项目需要，这两天系统要调一个webservice的服务，webservice的东西都扔了好几年了，怎么使用都忘得一干二净了。以前都是使用系统现成的框架掉一个方法就行了，现在几乎是从0开始一点一点搭建环境啊。总结一下，现在项目中很少用webservice了，

zhongjcbill 0喜欢 / 0评论 2015-11-30

Axis

xfire最新的版本为1.2.6-May3,2007网站已经说了“XFireisnowCXF”--|||. 现在只有axis2和cxf官方有更新。XFire是与Axis2并列的新一代WebService平台。XFire采用Woodstox作Stax实现；在

xiajlxiajl 0喜欢 / 0评论 2015-09-01

cxf集成spring，精简版

上次把webservice客户端接口，用注解注入到别的bean里，结果报错了。当时一直没有找到原因，现在回想，有可能是当时代码环境的问题，spring和cxf的配置都有些混乱。最近在搭建一个培训的框架，开发环境很纯净，上次那个问题没有再发生了。因此也简化了

industry0 0喜欢 / 0评论 2014-12-08

cxf +spring 发布webservice

-- 配置spring 监听器 -->. -- 配置CXF的核心Servlet -->. -- 通过初始化参数指定cxf配置文件的位置 -->

cloudspring 0喜欢 / 0评论 2014-11-29

wsimport 天气出错 undefined element declaration s:schema

如果不保留xml文件或移动xml文件，需要将WeatherWebService中的第22行和第35行中的本地xml文件路径替换掉，最好为web路径

bobobocai 0喜欢 / 0评论 2014-07-17

设置CXF的WebService客户端超时时长

　　在使用WebService的时候,我们可能需要一个备份的WebService服务器.一旦主服务器down了,我们可以使用备份的服务器.那么这里就需要对客服端连接服务器的时间做一个修改.　　在Spring+CXF的WebService环境下,客户端有两个

LunaZhang 0喜欢 / 0评论 2012-06-11

CXF学习笔记三（发布restFul）

JAX-RS旨在定义一个统一的规范，使得Java程序员可以使用一套固定的接口来开发REST应用，避免了依赖第三方框架。同时JAX-RS使用POJO编程模型和基于注解的配置并集成JAXB，可以有效缩短REST应用的开发周期。JAX-RS只定义RESTful

89467606 0喜欢 / 0评论 2015-12-25

Axis，axis2，Xfire以及cxf对比

xfire最新的版本为1.2.6 - May 3, 2007 网站已经说了“XFire is now CXF” --|||. cxf最新的版本为Feb 28, 2011 - Apache CXF 2.3.3 is released!现在只有axis2和cx

iPro 0喜欢 / 0评论 2014-05-28

CXF客户端对axis服务器的访问

CXF 和 axis都是非常不错的webservice的技术框架。最近项目需要了解了一下两个框架的访问。CXF客户端对对CXF服务器的访问，很简单。

LunaZhang 0喜欢 / 0评论 2011-09-14

CXF发送、接收消息超时设置

在使用WebService时，我们通常都会在客户端中设置请求超时的限制，以避免长时间的去连接不可用的服务器。在CXF的环境下，客户端可通过两个属性配置超时限制：。ReceiveTimeout - 这个属性是发送WebService的请求后等待响应的时间,超

chenhualeguan 0喜欢 / 0评论 2011-11-30

RPC框架是啥之Apache CXF一款WebService RPC框架入门教程

它可以说是一个功能齐全的集合。支持Web Service标准，包括SOAP规范、WSI Basic Profile...等等我也不了解的，这里就不一一举例了。支持多种传输协议和协议绑定、数据绑定。还是先从案例入手吧项目源码地址：RPC_Demo，记得是项目

青青木屋 0喜欢 / 0评论 2019-07-01

使用 CXF 做 webservice 简单例子

ApacheCXF是一个开放源代码框架，提供了用于方便地构建和开发Web服务的可靠基础架构。它允许创建高性能和可扩展的服务，您可以将这样的服务部署在Tomcat和基于Spring的轻量级容器中，以及部署在更高级的服务器上，例如Jboss、IBMWebSph

xiaoying 0喜欢 / 0评论 2015-11-18

axis2与cxf的区别(转载)

新一代的 Web Services 框架如 Axis2、CXF 都是由现有的项目中逐渐演化而来的，Axis2 是由大家熟悉的 Axis 1.x 系列演化过来，而 Apache CXF 则是由 Celtix 和 XFire 项目整合而生，并且刚刚发布了 2.

fengtaijun 0喜欢 / 0评论 2015-10-26

Apache CXF结合camel blueprint demo

cxf框架是apache的web service框架，提供简单易用的webservice功能，同时可以实现restful风格的soa。camel也是apache出品，他将request到response以route的形式进行处理，同时将response返回

dinux 0喜欢 / 0评论 2015-09-01

Jboss EAP 6启用CXF日志

<logger category="org.apache.cxf"> <level name="INFO"/> </logger>. @WebService(serviceName

直须看尽洛城花 0喜欢 / 0评论 2015-05-04

Axis，axis2，Xfire以及cxf对比

xfire最新的版本为1.2.6 - May 3, 2007 网站已经说了“XFire is now CXF” --|||. cxf最新的版本为Feb 28, 2011 - Apache CXF 2.3.3 is released!现在只有axis2和cx

DGenerationX 0喜欢 / 0评论 2015-01-29

webService学习之CXF spring jaxws:endpoint jaxws:server 区别与关系

是因为saaj.jar包引起的。在MyEclipse的编译环境-J2ee1.4library中存在jboss-saaj.jar与cxf需要的saaj.jar冲突。

程序员超哥 0喜欢 / 0评论 2014-11-26

Apache CXF

ApacheCXF是一个开源的，全功能的，容易使用的Web服务框架。CXF是两个项目的结合：由IONA技术公司开发的Celtix和由Codehaus主持的团队开发的XFire，合并是由人们在在Apache软件基金会共同完成的。CXF的名字来源于"

有瑕疵的老兵 0喜欢 / 0评论 2014-06-17

cxf+web service(一)Web Service和ApacheCXF介绍

最近在研究cxf 实现 web service.根据自己写的,然后根据网上的素材,编写了一套cxf 实现web service 的入门级文档,希望高手别喷我!

XHuiLin 0喜欢 / 0评论 2014-05-05

WebService框架JWS、Axis2、XFire、CXF的区别

而从服务本身的角度来看JWS服务是没有语言界限的。这是它的优势所在。还有，目前很多企业的应用还是基于Java5的，而Java5的项目不会瞬间都升级到Java6，如果要在老项目上做扩展，我们还有赖于其他开源的WS引擎。

whoisyoya 0喜欢 / 0评论 2013-12-11

RESTFUL实现主流框架 CXF、Restlet、RESTEasy、Jersey对比

、需求说明因为需要新增的系统调用接口使用了jsr311规范标准的REST架构的Web Service。考虑以后在产品中可能会经常使用到REST架构的WebService，针对主流的实现架构进行研究、测试，进行对比，找出相对较好的实现。性能上看RESTEas

87457215 0喜欢 / 0评论 2013-10-21

cxf rest jsonp

-- jsonp输出拦截器配置了callback 拦截属性属性-->

kaizhuQin 0喜欢 / 0评论 2013-09-23

Spring整合CXF，发布RSETful 风格WebService

关于发布CXF WebServer和Spring整合CXF这里就不再多加赘述了。如果你对Spring整合CXF WebService不了解，具体你可以参看这两篇文章：。其中，比较常用的RESTful框架就有Jersey、Spring REST、CXF RE

jiuweideqixu 0喜欢 / 0评论 2013-09-12

WebService CXF学习（高级篇3）：WS-Security

但通常情况都接入互联网，那么我就得考虑信息安全问题，像前面那样直接将消息裸传，肯定不行。CXF可以结合WSS4J来对消息安全进行管理，可以使用令牌，X.509认证对消息头或内容进行加密。这个Demo是在CXF+Spring+Hibernate的基础修改而成

广西信息安全学会 0喜欢 / 0评论 2013-08-11

WebService CXF学习（进阶篇4）：JAXB剖析

JAXB提供了一个快速而方便的方式绑定XML Schemas和java，使java程序员能够很方便的在java应用程序中处理XML数据。JAXB同样也提供了一种从java对象生成XML Schema的方式。在数据库环境中，则是把 Java 表示的数据存入数

especialjie 0喜欢 / 0评论 2013-08-11

Unsatisfied dependency expressed through constructor argument with index

的错误。geronimo-servlet_2.5_spec-1.2.jar (or Sun's Servlet jar). <?xml version="1.0" encoding="UTF-8"?>

nengyu 0喜欢 / 0评论 2013-05-29

cxf configuration

@WebService(endpointInterface="package.Service",servicename="Service"). returnresultList;<?xmlversion=&qu

XingKai 0喜欢 / 0评论 2013-03-19

Apache CXF

Apache CXF 是一个Service框架，他简化了Service的创建， CXF实现了JAX-WS2.0规范，并通过了JAX-WS2.0 TCK； CXF和Spring无缝集成；CXF支持多种传输协议，支持多种Binding数据格式，支持多种Da

XingKai 0喜欢 / 0评论 2013-03-07

CXF客户端普通java工程使用log4j

做cli命令行去调用webservice，该CXF客户端是一个普通java工程，需要使用log4j打日志。。Using Log4j Instead of java.util.logging As noted above, CXF uses the java

AndyXuq 0喜欢 / 0评论 2012-12-27

CXF介绍

　Apache CXF = Celtix + XFire，Apache CXF 的前身叫 Apache CeltiXfire，现在已经正式更名为 Apache CXF 了，以下简称为 CXF。CXF 继承了 Celtix 和 XFire 两大开源项目的精华

Andrewtao00 0喜欢 / 0评论 2012-12-04

CXF发布webservice

-- webservice 结束 -->第四步

tengmuxin 0喜欢 / 0评论 2017-10-16

ssh整合webservice cxf采用注解的方式+andriod客户端

Stringname);Stringpwd);Stringpwd);privateBaseDao<User>userDao;this.userDao=userDao;System.out.println("进入服务器端的sayHell

江巅 0喜欢 / 0评论 2012-10-17

解决 CXF 发送soap请求时由于缺少content-length

lighttpd 返回"411 Length require"字样的错误。同时，在lighttpd的err日志里面，有如下的错误信息。missing -> 411结果确定原因是cxf客户端调用时缺少了content-length属

ISEESTARS 0喜欢 / 0评论 2012-09-14

myeclipse开发基于cxf的webservice

cxf-2.1.jar2.新建一个接口类：HelloWorld，如下：Java代码 package com.zx.cxf.service;}*@WebService：申明为webservice的注解*endpointInterface：要暴露的接口类*se

oldboy 0喜欢 / 0评论 2012-08-15

将项目从Tomcat迁到WebLogic 11g的问题

玩Tomcat好多年了，从来没接触分配WebLogic，现在有项目需要使用WebLogic11g，结果开发好的项目扔上去后出现各种各样的鸟问题。花了整整一周时间才把问题扫清，很悲催，赶紧备忘一下。

87497118 0喜欢 / 0评论 2012-07-27

Apache CXF webservice框架学习笔记之一关于与spring3的结合

还有在官网中写了一个jaxws-api-2.1.jar包这个在apache-cxf-2.6.1的版本中是geronimo-jaxws_2.2_spec-1.1.jar包,有所不同.-- 创建客户端 -->

yanghuashuiyue 0喜欢 / 0评论 2012-07-10

CXF使用笔记

第一次用CXF的服务端，写个简单的笔记。直接上maven的pom，里面嵌套引用了好多jar，看起来不是那么爽。</dependency>●二、写个简单的服务类（不写接口，懒。。没什么特别的，只有一个@WebService注解。return &q

ziyifengfei 0喜欢 / 0评论 2012-05-02

webservice 文件上传下载之CXF restful

wsimport -extension -keep -encoding UTF-8 -d dist-s sourceswsdl\InspCertMgmt.xml. 本身没有什么难度，html5中可以获取到文件名字和文件长度 fastdfs 上传文件需要知

84560296 0喜欢 / 0评论 2016-08-12

Cannot find any registered HttpDestinationFactory from the Bus

not find artifact org.apache.cxf:cxf-rt-transports-http-jetty:jar:2.4.5-SNAPSHOT修改pom.xml. <artifactId>cxf-rt-transports-h

yixiaoqi00 0喜欢 / 0评论 2012-04-13

Cannot find any registered HttpDestinationFactory from the Bus

not find artifact org.apache.cxf:cxf-rt-transports-http-jetty:jar:2.4.5-SNAPSHOT修改pom.xml. <artifactId>cxf-rt-transports-h

XHuiLin 0喜欢 / 0评论 2012-04-13

cxf spring 环境搭建

我们要做的第一件事就是给项目添加必要的CXF依赖这个库文件。你能找到这些依赖分布在CXF库目录。spring-web-3.0.5.RELEASE.jar添加cxf的jar文件cxf-2.5.2.jar2.写自己的service. 它有一个"say

taotaoSi 0喜欢 / 0评论 2012-03-30