Apache Santuario 信息泄露漏洞

CVE编号

CVE-2021-40690

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-09-20

漏洞描述

Apache Santuario是美国阿帕奇（Apache）基金会的一套实现XML的主要安全标准，它包含两个库：Apache XML Security for Java和Apache XML Security for C++。
Apache Santuario XML Security for Java存在信息泄露漏洞，该漏洞源于软件中的Keyinfo SecureValidation Xpath Transform缺少有效验证。攻击者可利用该漏洞通过该字段读取文件，以获取敏感信息。

解决建议

目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法：

https://santuario.apache.org/javaindex.html

参考链接
https://lists.apache.org/thread.html/r3b3f5ba9b0de8c9c125077b71af06026d344a70...
https://lists.apache.org/thread.html/r401ecb7274794f040cd757b259ebe3e8c463ae7...
https://lists.apache.org/thread.html/r8848751b6a5dd78cc9e99d627e74fecfaffdfa1...
https://lists.apache.org/thread.html/r8a5c0ce9014bd07303aec1e5eed559517048780...
https://lists.apache.org/thread.html/r9c100d53c84d54cf71975e3f0cfcc2856a88465...
https://lists.apache.org/thread.html/raf352f95c19c0c4051af3180752cb69acbea88d...
https://lists.apache.org/thread.html/rbbbac0759b12472abd0c278d32b5e0867bb2193...
https://lists.apache.org/thread.html/rbdac116aef912b563da54f4c152222c0754e32f...
https://lists.apache.org/thread.html/re294cfc61f509512874ea514d8d64fd276253d5...
https://lists.debian.org/debian-lts-announce/2021/09/msg00015.html
https://www.debian.org/security/2021/dsa-5010

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	apache	tomee	*		Up to (excluding) 8.0.8
	运行在以下环境
	应用	apache	xml_security_for_java	*		Up to (excluding) 2.1.7
	运行在以下环境
	应用	apache	xml_security_for_java	*	From (including) 2.2.0	Up to (excluding) 2.2.3
	运行在以下环境
	系统	debian_10	libxml-security-java	*		Up to (excluding) 2.0.10-2+deb10u1
	运行在以下环境
	系统	debian_11	libxml-security-java	*		Up to (excluding) 2.0.10-2+deb11u1
	运行在以下环境
	系统	debian_12	libxml-security-java	*		Up to (excluding) 2.0.10-2
	运行在以下环境
	系统	debian_9	libxml-security-java	*		Up to (excluding) 1.5.8-2+deb9u1
	运行在以下环境
	系统	debian_sid	libxml-security-java	*		Up to (excluding) 2.0.10-2

攻击路径远程
攻击复杂度容易
权限要求无需权限
影响范围全局影响
EXP成熟度未验证
补丁情况官方补丁
数据保密性数据泄露
数据完整性无影响
服务器危害无影响
全网数量 N/A

CWE-ID 漏洞类型 CWE-200 信息暴露

正文

Apache Santuario 信息泄露漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM Security Network Protection GSKit信息泄露漏洞

PHP ‘serialize_function_call()’函数远程代码执行漏洞

PHP远程代码执行漏洞（CNVD-2015-06226）

OpenSSH 至 7.1p1 packet.c ssh_packet_read_poll2 内存破坏漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]