Vigil@nce : WebSphere AS, déchiffrement de données JAX-RPC ou JAX-WS
avril 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant ayant intercepté des données chiffrées JAX-RPC ou
JAX-WS peut les déchiffrer.
– Gravité : 2/4
– Date création : 18/04/2011
PRODUITS CONCERNÉS
– IBM WebSphere Application Server
DESCRIPTION DE LA VULNÉRABILITÉ
Le protocole WS-Security permet de signer et chiffrer les échanges
SOAP. Il est basé sur XML-DSig et XML-Enc, qui signent et
chiffrent les données XML.
Les requêtes vers les Web Services JAX-RPC/JAX-WS peuvent être
chiffrées avec WS-Security. Cependant, ces données peuvent être
déchiffrées sans connaître les clés. Les détails techniques ne
sont pas connus.
Un attaquant ayant intercepté des données chiffrées JAX-RPC ou
JAX-WS peut donc les déchiffrer.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/WebSphere-AS-dechiffrement-de-donnees-JAX-RPC-ou-JAX-WS-10574