漏洞信息详情

Shibboleth OpenSAML-C和Shibboleth Service Provider XMLTooling-C 数字错误漏洞

• CNNVD编号：CNNVD-201508-095
• 危害等级： 中危
  
• CVE编号： CVE-2015-0851
• 漏洞类型： 数字错误
• 发布时间： 2015-08-13
• 威胁类型： 远程
• 更新时间： 2015-08-13
• 厂        商： xmltooling_project
• 漏洞来源：

漏洞简介

Shibboleth OpenSAML-C和Shibboleth Service Provider（SP）都是英国Shibboleth公司的产品。OpenSAML-C是一个使用C语言编写的开源且用于实现SAML（Security Assertion Markup Language，安全断言标记语言）的库。Shibboleth是一套开源的基于SAML协议的Web单点登录系统；Shibboleth SP是其中的一个服务提供者。XMLTooling-C是一个提供了XML处理接口的包。

OpenSAML-C和SP中使用的XMLTooling-C 1.5.4及之前版本中存在安全漏洞，该漏洞源于程序没有正确处理整数转换异常。远程攻击者可借助schema-invalid XML数据利用该漏洞造成拒绝服务（崩溃）。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://git.shibboleth.net/view/?p=cpp-xmltooling.git;a=commitdiff;h=2d795c731e6729309044607154978696a87fd900

参考网址

来源:shibboleth.net

链接:http://shibboleth.net/community/advisories/secadv_20150721.txt

来源:git.shibboleth.net

链接:https://git.shibboleth.net/view/?p=cpp-xmltooling.git;a=commitdiff;h=2d795c731e6729309044607154978696a87fd900

来源:DEBIAN

链接:http://www.debian.org/security/2015/dsa-3321

受影响实体

• Xmltooling_project Xmltooling:1.5.4  

补丁

• cpp-xmltooling.git-2d795c731e6729309044607154978696a87fd900