Bouncy Castle 1.52
OSS관리자1
게시글 작성 시각 2019-12-12 15:57:20
컴포넌트 명 : Bouncy Castle
버전 정보 | 취약점 ID | 취약점 최종 보고일 | 심각도 |
---|---|---|---|
1.52 | CVE-2018-1000613 | 2019/04/24 | 7.5 (High) |
취약점 ID : CVE-2018-1000613
취약점 설명 | Legion of the Bouncy Castle Legion of the Bouncy Castle Java Cryptography APIs 1.58 up to but not including 1.60 contains a CWE-470: Use of Externally-Controlled Input to Select Classes or Code ('Unsafe Reflection') vulnerability in XMSS/XMSS^MT private key deserialization that can result in Deserializing an XMSS/XMSS^MT private key can result in the execution of unexpected code. This attack appear to be exploitable via A handcrafted private key can include references to unexpected classes which will be picked up from the class path for the executing application. This vulnerability appears to have been fixed in 1.60 and later. Legion of the Bouncy Castle Bouncy Castle의 Legion of the Bouncy Castle Java Cryptography API 1.58까지의 1.60에는 XMSS / XMSS ^ MT 개인 키를 역직렬화 할 수있는 개인 키 역직렬화로 인해 예기치 않은 코드가 실행될 수 있습니는 CWE-470 : Externally-Controlled Input to Select Classes or Code ('Unsafe Reflection') 취약점을 포함합니다. 이 공격은 실행중인 응용 프로그램의 클래스 경로에서 선택 될 예상치 못한 클래스에 대한 참조가 포함될 수 있는 직접 조작된 개인 키 A를 통해 악용 될 수 있는 것으로 보입니다. 이 보안취약점 발생은 1.60 이후 버전에서 해소되었습니다. |
---|---|
대응 방안 | 1.52.0 버전으로 업데이트 필요 |
기타 | - |
번호 | 컴포넌트 명 및 버전 | 취약점ID | 심각도 |
취약점 최종 보고일 |
대응방안 |
---|---|---|---|---|---|
97 | Bouncy Castle 1.52 | CVE-2018-1000613 | 7.5 (High) | 2019/04/24 | |
96 | Apache Xerces2 J 2.8.0 | CVE-2012-0881 | 7.8 (High) | 2019/10/18 | |
95 | Apache Xerces2 J 2.9.1 | CVE-2012-0881 | 7.8 (High) | 2019/10/18 | |
94 | Apache Struts 1.3.8 | CVE-2014-0114 | 7.5 (High) | 2019/01/16 | |
93 | Apache Groovy 2.0.5 | CVE-2016-6814 | 7.5 (High) | 2019/01/17 | |
92 | Apache Groovy 2.0.7 | CVE-2016-6814 | 7.5 (High) | 2019/01/17 | |
91 | Apache Groovy 2.3.10 | CVE-2016-6814 | 7.5 (High) | 2019/01/17 | |
90 | Apache Commons Collections 2.1 | CVE-2015-6420 | 7.5 (High) | 2018/10/02 | |
89 | Spring Batch Test 2.1.9.RELEASE | CVE-2019-3774 | 7.5 (High) | 2019/10/10 | |
88 | Infrastructure 2.1.9.RELEASE | CVE-2019-3774 | 7.5 (High) | 2019/10/10 |
0개 댓글