漏洞信息详情
Shibboleth OpenSAML-C和Shibboleth Service Provider XMLTooling-C 数字错误漏洞
- CNNVD编号:CNNVD-201508-095
- 危害等级: 中危
- CVE编号: CVE-2015-0851
- 漏洞类型: 数字错误
- 发布时间: 2015-08-13
- 威胁类型: 远程
- 更新时间: 2015-08-13
- 厂 商: xmltooling_project
- 漏洞来源:
漏洞简介
Shibboleth OpenSAML-C和Shibboleth Service Provider(SP)都是英国Shibboleth公司的产品。OpenSAML-C是一个使用C语言编写的开源且用于实现SAML(Security Assertion Markup Language,安全断言标记语言)的库。Shibboleth是一套开源的基于SAML协议的Web单点登录系统;Shibboleth SP是其中的一个服务提供者。XMLTooling-C是一个提供了XML处理接口的包。
OpenSAML-C和SP中使用的XMLTooling-C 1.5.4及之前版本中存在安全漏洞,该漏洞源于程序没有正确处理整数转换异常。远程攻击者可借助schema-invalid XML数据利用该漏洞造成拒绝服务(崩溃)。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://git.shibboleth.net/view/?p=cpp-xmltooling.git;a=commitdiff;h=2d795c731e6729309044607154978696a87fd900
参考网址
来源:shibboleth.net
链接:http://shibboleth.net/community/advisories/secadv_20150721.txt
来源:git.shibboleth.net
链接:https://git.shibboleth.net/view/?p=cpp-xmltooling.git;a=commitdiff;h=2d795c731e6729309044607154978696a87fd900
来源:DEBIAN
链接:http://www.debian.org/security/2015/dsa-3321
受影响实体
- Xmltooling_project Xmltooling:1.5.4
补丁
- cpp-xmltooling.git-2d795c731e6729309044607154978696a87fd900
评论