漏洞起因
异常条件处理失败错误
危险等级
中
影响系统
Apache Software Foundation Apache POI
不受影响系统
危害
远程攻击者可以利用漏洞使应用程序崩溃。
攻击所需条件
攻击者必须构建恶意文件,诱使用户处理。
漏洞信息
Apache POI是Apache的开放源码函式库,POI提供API给Java程式对Microsoft Office格式档案读和写的功能。
在处理CDF/CFBF文档时,Apache POI会使用文档中指定的任意值分配数组,远程攻击者可以构建恶意文件,诱使使用Apache POI的应用程序处理,可导致当前线程中触发OutOfMemoryError异常或使整个Java虚拟机实例不稳定。
测试方法
厂商解决方案
Debian用户可参考如下供应商提供的安全公告获得补丁信息:
http://snapshot.debian.org/archive/debian-security/20120509T181445Z/pool/updates/main/libj/libjakarta-poi-java/libjakarta-poi-java_3.6%2Bdfsg-1%2Bsqueeze1.diff.gz
漏洞提供者
apache
评论关闭。