允许WildFly / JBossWS / CXF / WSS4J堆栈的RSAv1.5密钥传输算法

Question

针对关于RSAv1.5密钥传输算法的安全建议(请参阅http://cxf.apache.org/note-on-cve-2011-1096.html)，CXF和WSS4J项目默认都不允许使用所有相关算法。

然而，他们提供了一个配置标记"ALLOW_RSA15_KEY_TRANSPORT_ALGORITHM“，它应该重新允许这些算法(参见https://ws.apache.org/wss4j/config.html)。

我们的问题是让这些框架(JBossWS / CXF / WSS4J)接受/使用这个配置设置。我们尝试使用：

• jboss-webservice.xml
• 自定义CXF拦截器(在CXF创建其WSS4J拦截器后设置param )
• 自定义“黑客”WSS4J构建(将参数硬编码为"true")

但这些选项似乎都没有真正重新启用对RSA v1.5密钥传输算法的支持。

有人知道我们如何能够/应该指定这个配置参数吗？

Answer 1

下面是我添加到CXF中的一个测试：

https://git1-us-west.apache.org/repos/asf?p=cxf.git;a=commit;h=a73effb5

注意，服务器已经将"allowRSA15KeyTransportAlgorithm“设置为"true”。

Answer 2

只有当拦截器的操作中包含了WSHandlerConstants.ENCRYPT操作时，才会应用此设置。

例如：

Map<String, Object> inProps = new HashMap<>();
inProps.put(WSHandlerConstants.ALLOW_RSA15_KEY_TRANSPORT_ALGORITHM, "true");
inProps.put(WSHandlerConstants.ACTION, 
    WSHandlerConstants.ENCRYPT + " " +
    WSHandlerConstants.SIGNATURE);
WSS4JInInterceptor wss4JInInterceptor = new WSS4JInInterceptor(inProps);