发布日期：2014-07-07
更新日期：2014-07-08

受影响系统：

Apache Group Syncope < 1.1.8 'Ad libitum'
Apache Group Syncope

不受影响系统：

Apache Group Syncope 1.0.x

描述：

---

BUGTRAQ  ID: 68431
CVE(CAN) ID: CVE-2014-3503

Apache Syncope是用JEE技术实现的企业级开源数字身份管理系统，是在Apache 2.0证书下发行的。

Apache Syncope在实现上存在不安全密码生成漏洞，如果没有现有的密码，Apache Syncope在某些情况下会为用户生成密码。但是密码生成代码是基于不安全的Random实现，这可使远程攻击者猜测生成的密码，导致其他攻击。

<*来源：vendor
  *>

建议：

---

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://svn.apache.org/viewvc?view=revision&revision=1596537

http://syncope.apache.org/security.html

浏览次数：2363
严重程度：0（网友投票）