漏洞信息详情
Apache Santuario XML Security for C++ XML Signature 拒绝服务漏洞
- CNNVD编号:CNNVD-201306-385
- 危害等级: 中危
- CVE编号: CVE-2013-2155
- 漏洞类型: 输入验证错误
- 发布时间: 2013-06-24
- 威胁类型: 远程
- 更新时间: 2021-09-18
- 厂 商: apache
- 漏洞来源: James Forshaw of C...
漏洞简介
Apache Santuario是美国阿帕奇(Apache)软件基金会的一套实现XML的主要安全标准,它包含两个库:Apache XML Security for Java和Apache XML Security for C++。
Apache Santuario XML Security for C++(又名xml-security-c) 1.7.0及之前的版本中存在安全漏洞,该漏洞源于程序没有正确验证长度值。远程攻击者可通过向(1)compareBase64StringToRaw,(2)DSIGAlgorithmHandlerDefault或(3)DSIGAlgorithmHandlerDefault::verify函数传递特制的长度值,利用该漏洞造成拒绝服务或绕过保护机制,伪造签名。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://santuario.apache.org/secadv.data/CVE-2013-2155.txt
参考网址
来源:CONFIRM
链接:http://santuario.apache.org/secadv.data/CVE-2013-2155.txt
来源:DEBIAN
链接:https://www.debian.org/security/2013/dsa-2710
来源:MISC
链接:http://svn.apache.org/viewvc/santuario/xml-security-cpp/trunk/xsec/dsig/DSIGAlgorithmHandlerDefault.cpp?r1=1125752&r2=1493960&pathrev=1493960&diff_format=h
来源:MLIST
链接:https://lists.apache.org/thread.HTML/680e6938b6412e26d5446054fd31de2011d33af11786b989127d1cc3@%3Ccommits.santuario.apache.org%3E
来源:MLIST
链接:https://lists.apache.org/thread.HTML/r1c07a561426ec5579073046ad7f4207cdcef452bb3100abaf908e0cd@%3Ccommits.santuario.apache.org%3E
来源:FULLDISC
链接:http://archives.neohapsis.com/archives/fulldisclosure/2013-06/0142.HTML
来源:CONFIRM
链接:https://www.tenable.com/security/tns-2018-15
受影响实体
- Apache Xml_security_for_c%2b%2b:0.1.0
- Apache Xml_security_for_c%2b%2b:0.2.0
- Apache Xml_security_for_c%2b%2b:1.1.0
- Apache Xml_security_for_c%2b%2b:1.2.0
- Apache Xml_security_for_c%2b%2b:1.2.1
补丁
- Apache Santuario XML Security for C++ XML Signature 拒绝服务漏洞的修复措施
评论