发布日期:2015-03-21
更新日期:2015-03-25
受影响系统:
Apache Group Batik < 1.8
描述:
CVE(CAN) ID: CVE-2015-0250
Batik是基于Java的应用工具包,可将SVG格式用于多种目的,如察看、主控或操纵。
Apache Batik 1.8之前版本,在将SVG转换为PNG及JPG类时存在XML外部实体漏洞,通过构造的SVG文件,远程攻击者可读取文件或造成拒绝服务。
建议:
厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
[1]
[2]
[3] https://www.owasp.org/index.php/XML_External_Entity_%28XXE%29_Processing
[4] https://www.ernw.de/download/xxe_batik.tar.xz