В ответ на рекомендацию по безопасности (см. http://cxf.apache.org/note-on-cve-2011-1096.html) относительно алгоритма передачи ключей RSA v1.5, проекты CXF и WSS4J по умолчанию запрещают использование всех связанных алгоритмов.
Однако они предоставили тег конфигурации «ALLOW_RSA15_KEY_TRANSPORT_ALGORITHM», который должен повторно разрешить эти алгоритмы (см. https://ws.apache.org/wss4j/config.html)
Наша проблема заключается в том, чтобы эти фреймворки (JBossWS/CXF/WSS4J) принимали/использовали этот параметр конфигурации. Мы пробовали использовать:
- jboss-webservice.xml
- пользовательский перехватчик CXF (установка параметра после того, как CXF создаст свой перехватчик WSS4J)
- пользовательская «взломанная» сборка WSS4J (жестко запрограммированная для параметра «true»)
Но ни один из этих вариантов, по-видимому, не восстанавливает поддержку алгоритмов передачи ключей RSA v1.5.
Кто-нибудь знает, как мы могли бы/должны указать этот параметр конфигурации?