CVE编号
CVE-2013-2160利用情况
暂无补丁情况
N/A披露时间
2013-08-20漏洞描述
Apache CXF一个开源的Service框架,它实现了JCP与Web Service中一些重要标准。Apache CXF流机制XML解析器没有对元素,属性数量,接收到的document的嵌套结构进行限制,远程攻击者可以利用漏洞提交特殊的XML文件,应用程序在解析时可消耗大量CPU或使JVM耗尽内存,产生拒绝服务攻击。
解决建议
Apache CXF 2.5.10, 2.6.7和2.7.4已经修复此漏洞,建议用户下载使用:http://cxf.apache.org/
参考链接 |
|
---|---|
http://jira.codehaus.org/browse/WSTX-285 | |
http://jira.codehaus.org/browse/WSTX-287 | |
http://rhn.redhat.com/errata/RHSA-2013-1028.html | |
http://rhn.redhat.com/errata/RHSA-2013-1437.html | |
https://bugzilla.redhat.com/show_bug.cgi?id=929197 | |
https://cxf.apache.org/security-advisories.data/CVE-2013-2160.txt.asc | |
https://lists.apache.org/thread.html/r36e44ffc1a9b365327df62cdfaabe85b9a5637d... | |
https://lists.apache.org/thread.html/rc774278135816e7afc943dc9fc78eb0764f2c84... | |
https://lists.apache.org/thread.html/rd49aabd984ed540c8ff7916d4d79405f3fa311d... | |
https://lists.apache.org/thread.html/rec7160382badd3ef4ad017a22f64a266c7188b9... | |
https://lists.apache.org/thread.html/rfb87e0bf3995e7d560afeed750fac9329ff5f1a... | |
https://lists.apache.org/thread.html/rff42cfa5e7d75b7c1af0e37589140a8f1999e57... |
受影响软件情况
# | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
1 | |||||||||
---|---|---|---|---|---|---|---|---|---|
运行在以下环境 | |||||||||
应用 | apache | cxf | 2.5.0 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | cxf | 2.5.1 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | cxf | 2.5.2 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | cxf | 2.5.3 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | cxf | 2.5.4 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | cxf | 2.5.5 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | cxf | 2.5.6 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | cxf | 2.5.7 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | cxf | 2.5.8 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | cxf | 2.5.9 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | cxf | 2.6.0 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | cxf | 2.6.1 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | cxf | 2.6.2 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | cxf | 2.6.3 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | cxf | 2.6.4 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | cxf | 2.6.5 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | cxf | 2.6.6 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | cxf | 2.7.0 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | cxf | 2.7.1 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | cxf | 2.7.2 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | cxf | 2.7.3 | - |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 N/A
- 用户交互 无
- 可用性 部分地
- 保密性 无
- 完整性 无
还没有评论,来说两句吧...