RSA v1.5 キー トランスポート アルゴリズムに関するセキュリティ アドバイザリ ( http://cxf.apache.org/note-on-cve-2011-1096.htmlを参照) に対応して、CXF プロジェクトと WSS4J プロジェクトの両方で、すべてのキー トランスポートの使用が禁止されています。デフォルトで関連するアルゴリズム。
ただし、これらのアルゴリズムを再度許可する構成タグ「ALLOW_RSA15_KEY_TRANSPORT_ALGORITHM」を提供しています ( https://ws.apache.org/wss4j/config.htmlを参照) 。
私たちの問題は、これらのフレームワーク (JBossWS / CXF / WSS4J) がこの構成設定を受け入れて使用できるようにすることです。以下を使用してみました:
- jboss-webservice.xml
- カスタム CXF インターセプター (CXF が WSS4J インターセプターを作成した後にパラメーターを設定)
- カスタムの「ハッキング」された WSS4J ビルド (パラメーターを「true」にハードコーディング)
しかし、これらのオプションのいずれも、RSA v1.5 キー転送アルゴリズムのサポートを実際に再度有効にするようには見えません。
この構成パラメーターをどのように指定できるか/指定する必要があるかについて、誰か考えがありますか?