CVE编号
CVE-2019-12400利用情况
暂无补丁情况
官方补丁披露时间
2019-08-24漏洞描述
在2.0.3版的Apache Santuario XML Security for Java中,引入了一种缓存机制,以使用DocumentBuilders的静态池加快创建新XML文档的速度。但是,如果某些不受信任的代码可以首先在线程上下文类加载器中注册恶意实现,则该实现可能会被Apache Santuario-XML Security for Java缓存并重新使用,从而在验证签名文档等时导致潜在的安全漏洞。该漏洞影响2.0.3之前的Apache Santuario-XML Security for Java 2.0.x发行版以及2.1.4之前的所有2.1.x发行版。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| http://santuario.apache.org/secadv.data/CVE-2019-12400.asc?version=1&modifica... | |
| https://access.redhat.com/errata/RHSA-2020:0804 | |
| https://access.redhat.com/errata/RHSA-2020:0805 | |
| https://access.redhat.com/errata/RHSA-2020:0806 | |
| https://access.redhat.com/errata/RHSA-2020:0811 | |
| https://lists.apache.org/thread.html/8e814b925bf580bc527d96ff51e72ffe5bdeaa4b... | |
| https://lists.apache.org/thread.html/edaa7edb9c58e5f5bd0c950f2b6232b62b15f5c4... | |
| https://lists.apache.org/thread.html/r107bffb06a5e27457fe9af7dfe3a233d0d36c6c... | |
| https://lists.apache.org/thread.html/r1c07a561426ec5579073046ad7f4207cdcef452... | |
| https://lists.apache.org/thread.html/rcdc0da94fe21b26493eae47ca987a290bdf90c7... | |
| https://lists.apache.org/thread.html/rf82be0a7c98cd3545e20817bb96ed05551ea002... | |
| https://lists.apache.org/thread.html/rf958cea96236de8829940109ae07e870aa3d592... | |
| https://security.netapp.com/advisory/ntap-20190910-0003/ | |
| https://www.oracle.com/security-alerts/cpuoct2021.html |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | apache | santuario_xml_security_for_java | * |
From (including) 2.0.3 |
Up to (including) 2.0.10 |
||||
| 运行在以下环境 | |||||||||
| 应用 | apache | santuario_xml_security_for_java | * |
From (including) 2.1.0 |
Up to (excluding) 2.1.4 |
||||
| 运行在以下环境 | |||||||||
| 系统 | debian_10 | libxml-security-java | * |
Up to (excluding) 2.0.10-2+deb10u1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | debian_11 | libxml-security-java | * |
Up to (excluding) 2.0.10-2+deb11u1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | debian_12 | libxml-security-java | * |
Up to (excluding) 2.0.10-2 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | debian_sid | libxml-security-java | * |
Up to (excluding) 2.0.10-2 |
|||||
- 攻击路径 本地
- 攻击复杂度 复杂
- 权限要求 普通权限
- 影响范围 有限影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 100
还没有评论,来说两句吧...