发布日期:2013-08-26
更新日期:2013-08-28
受影响系统:
Restlet Restlet 2.x
描述:
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2013-4221
Restlet是Java的web API框架。
Restlet 2.1.2版本用XMLDecoder类反序列化用户控制的XML数据和二进制数据,这可使远程攻击者通过提交特制的XML数据或二进制数据,利用此漏洞执行任意Java代码,或调用Java对象上的任意反序列化方法。
<*来源:Dinis Cruz
Abraham Kang
Alvaro Munoz
链接:
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Restlet
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://github.com/restlet/restlet-framework-java/issues/774
https://github.com/restlet/restlet-framework-java/issues/778