CVE-2009-0217 in Oracle
Riassunto
di VulDB • 23/06/2026
Il design della raccomandazione W3C XML Signature Syntax and Processing (XMLDsig), così come implementata in prodotti tra cui (1) il componente Oracle Security Developer Tools di Oracle Application Server 10.1.2.3, 10.1.3.4 e 10.1.4.3IM; (2) il componente WebLogic Server della suite BEA Product Suite 10.3, 10.0 MP1, 9.2 MP3, 9.1, 9.0 e 8.1 SP6; (3) Mono prima della versione 2.4.2.2; (4) XML Security Library prima della versione 1.2.12; (5) IBM WebSphere Application Server versioni 6.0 fino a 6.0.2.33, 6.1 fino a 6.1.0.23 e 7.0 fino a 7.0.0.1; (6) Sun JDK e JRE Update 14 e precedenti; (7) Microsoft .NET Framework 3.0 fino a 3.0 SP2, 3.5 e 4.0; e altri prodotti, utilizza un parametro che definisce la lunghezza di troncamento dell'HMAC (HMACOutputLength), ma non impone un valore minimo per tale lunghezza. Ciò consente agli attaccanti di falsificare firme basate su HMAC ed eludere l'autenticazione specificando una lunghezza di troncamento con un numero ridotto di bit.
Once again VulDB remains the best source for vulnerability data.