漏洞信息详情
Xerces-C++ 'maxOccurs' XML 解析远程拒绝服务漏洞
- CNNVD编号:CNNVD-200810-108
- 危害等级: 中危
- CVE编号: CVE-2008-4482
- 漏洞类型: 输入验证
- 发布时间: 2008-10-08
- 威胁类型: 远程
- 更新时间: 2008-10-08
- 厂 商: apache
- 漏洞来源: Frank Rast
漏洞简介
Xerces-C++的XML解析器允许见机行事的攻击者通过具有一个大maxOccurs值的XML图表定义来引起拒绝服务(栈损耗和崩溃),它能够在验证一个XML文件时触发多余的内存损耗。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
Apache Software Foundation Xerces C++ 1.7
Apache Software Foundation xerces-c-3.0.0.tar.gz
http://apache.sunsite.ualberta.ca/xerces/c/3/sources/xerces-c-3.0.0.ta r.gz
Apache Software Foundation Xerces C++ 2.1 .0
Apache Software Foundation xerces-c-3.0.0.tar.gz
http://apache.sunsite.ualberta.ca/xerces/c/3/sources/xerces-c-3.0.0.ta r.gz
Apache Software Foundation Xerces C++ 2.2
Apache Software Foundation xerces-c-3.0.0.tar.gz
http://apache.sunsite.ualberta.ca/xerces/c/3/sources/xerces-c-3.0.0.ta r.gz
Apache Software Foundation Xerces C++ 2.5 .0
Apache Software Foundation xerces-c-3.0.0.tar.gz
http://apache.sunsite.ualberta.ca/xerces/c/3/sources/xerces-c-3.0.0.ta r.gz
Apache Software Foundation Xerces C++ 2.6 .0
Apache Software Foundation xerces-c-3.0.0.tar.gz
http://apache.sunsite.ualberta.ca/xerces/c/3/sources/xerces-c-3.0.0.ta r.gz
Apache Software Foundation Xerces C++ 2.8
Apache Software Foundation xerces-c-3.0.0.tar.gz
http://apache.sunsite.ualberta.ca/xerces/c/3/sources/xerces-c-3.0.0.ta r.gz
参考网址
来源: BID
名称: 31533
链接:http://www.securityfocus.com/bid/31533
来源: XF
名称: xerces-maxoccurs-dos(45596)
链接:http://xforce.iss.net/xforce/xfdb/45596
来源: xerces.apache.org
链接:http://xerces.apache.org/xerces-c/releases.HTML
来源: SECUNIA
名称: 32108
链接:http://secunia.com/advisories/32108
来源: MISC
链接:http://issues.apache.org/jira/browse/XERCESC-1051
受影响实体
- Apache Xerces-C%2b%2b:1.0.1
- Apache Xerces-C%2b%2b:1.0.0
- Apache Xerces-C%2b%2b:1.1.0
- Apache Xerces-C%2b%2b:1.2.0
- Apache Xerces-C%2b%2b:1.3.0
补丁
暂无
评论