发布日期:2014-09-03
更新日期:2014-10-16
受影响系统:
Apache Group POI 3.11.x
Apache Group POI 3.10.x
描述:
BUGTRAQ ID: 69648
CVE(CAN) ID: CVE-2014-3574
Apache POI是用Java编写的开源跨平台Java API,可以读写Microsoft Office格式档案。
Apache POI 3.10.1之前版本、3.11-beta2之前版本在OpenXML解析器的实现上存在XML实体扩展漏洞,远程攻击者通过构造的OOXML文件,利用此漏洞可造成拒绝服务(CPU耗尽后崩溃)。
建议:
厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: