漏洞信息详情
Standards-Based Linux Instrumentation for Manageability CIM Client 加密问题漏洞
- CNNVD编号:CNNVD-201402-100
- 危害等级: 中危
- CVE编号: CVE-2012-2328
- 漏洞类型: 加密问题
- 发布时间: 2014-02-10
- 威胁类型: 远程
- 更新时间: 2014-03-03
- 厂 商: novell
- 漏洞来源:
漏洞简介
Standards-Based Linux Instrumentation for Manageability(SBLIM)Common Information Model(CIM)Client(也称sblim-cim-client2)是Standards-Based Linux Instrumentation项目的一款用Java实现的且应用于系统配置管理领域的WBEM服务客户端,它提供了丰富的配置功能,用户可按需求对连接池、安全性、xml解析方式、日志记录等做定制。
StSBLIM CIM Client 2.1.11及之前版本中的internal/cimxml/sax/NodeFactory.java文件中存在加密问题漏洞,该漏洞源于程序产生可预测的哈希碰撞,计算出哈希值。攻击者可借助特制的XML文件利用该漏洞造成拒绝服务(CPU消耗)。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://rhn.redhat.com/errata/RHSA-2012-0987.HTML
参考网址
来源: sourceforge.net
链接:http://sourceforge.net/p/sblim/bugs/2381/
来源: sblim.cvs.sourceforge.net
链接:http://sblim.cvs.sourceforge.net/viewvc/sblim/jsr48-client/src/org/sblim/cimclient/internal/cimxml/sax/NodeFactory.java?view=log#rev1.7
来源: REDHAT
名称: RHSA-2012:0987
链接:http://rhn.redhat.com/errata/RHSA-2012-0987.HTML
来源: SUSE
名称: openSUSE-SU-2013:0144
链接:http://lists.opensuse.org/opensuse-updates/2013-01/msg00038.HTML
来源: SUSE
名称: openSUSE-SU-2012:1621
链接:http://lists.opensuse.org/opensuse-updates/2012-12/msg00015.HTML
受影响实体
- Novell Opensuse:12.2
- Novell Opensuse:12.1
- Standards_based_linux_instrumentation_project Standards-Based_linux_common_information_model_client:2.1.11
补丁
- sblim-cim-client2-2.1.3-9.1.noarch
- sblim-cim-client2-javadoc-2.1.10-2.4.1.noarch
- sblim-cim-client2-manual-2.1.12-2.4.2.noarch
- sblim-cim-client2-2.1.12-bin
- sblim-cim-client2-2.1.10-2.4.1.noarch
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论