Apache Xerces2 XML Service 拒绝服务漏洞

CVE编号

CVE-2012-0881

利用情况

暂无

补丁情况

官方补丁

披露时间

2017-10-31

漏洞描述

2.12.0之前的Apache Xerces2 Java Parser允许远程攻击者通过精心设计的消息导致拒绝服务（CPU消耗），从而触发哈希表冲突。<br>

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://www.openwall.com/lists/oss-security/2014/07/08/11
https://bugzilla.redhat.com/show_bug.cgi?id=787104
https://issues.apache.org/jira/browse/XERCESJ-1685
https://lists.apache.org/thread.html/49dc6702104a86ecbb40292dcd329ce9ae4c32b7...
https://lists.apache.org/thread.html/519eb0fd45642dcecd9ff74cb3e71c20a4753f7d...
https://lists.apache.org/thread.html/708d94141126eac03011144a971a6411fcac16d9...
https://lists.apache.org/thread.html/b0656d359c7d40ec9f39c8cc61bca66802ef9a2a...
https://lists.apache.org/thread.html/f9bc3e55f4e28d1dcd1a69aae6d53e609a758e34...
https://lists.apache.org/thread.html/r204ba2a9ea750f38d789d2bb429cc0925ad6133...
https://lists.apache.org/thread.html/rea7b831dceeb2a2fa817be6f63b08722042e364...
https://www.oracle.com//security-alerts/cpujul2021.html

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	apache	xerces2_java	*		Up to (including) 2.11.0
	运行在以下环境
	系统	debian_10	libxerces2-java	*		Up to (excluding) 2.12.0-1
	运行在以下环境
	系统	debian_11	libxerces2-java	*		Up to (excluding) 2.12.1-1
	运行在以下环境
	系统	debian_12	libxerces2-java	*		Up to (excluding) 2.12.1-1
	运行在以下环境
	系统	debian_9	libxerces2-java	*		Up to (excluding) 2.11.0-7
	运行在以下环境
	系统	debian_sid	libxerces2-java	*		Up to (excluding) 2.12.1-1
查看完整数据

阿里云评分 3.1

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID 漏洞类型 CWE-399 资源管理错误