Apache XML Security for C++签名密钥解析拒绝服务漏洞

漏洞起因
边界条件错误
危险等级

 
影响系统
Shibbolet Shibbolet 2.3
Apache Software Foundation XML Security for C++ 1.6
 
不受影响系统
Shibbolet Shibbolet 2.4.3
Apache Software Foundation XML Security for C++ 1.6.1
 
危害
远程攻击者可以利用漏洞以应用程序上下文执行任意代码。
 
攻击所需条件
攻击者必须访问链接此库的应用程序。
 
漏洞信息
Apache XML Security for C++是一款为XML安全标准提供Java及C++实现的开源项目。
创建或校验包含超长RSA,DSA或者ECDSA密钥的XML签名时存在单字节缓冲区溢出,攻击者提交恶意签名文件可能以使用此库的应用程序上下文执行任意代码。
 
测试方法
 
厂商解决方案
Apache Software Foundation XML Security for C++ 1.6.1已经修复此漏洞,建议用户下载使用:
http://svn.apache.org/viewvc?view=revision&revision=1125752
 
漏洞提供者
Paulo Zanoni

发表评论?

0 条评论。

发表评论