CH azonosító
CH-13809Angol cím
Apache Wicket DiskFileItem Class Deserialization Error Lets Remote Users Cause Denial of Service ConditionsFelfedezés dátuma
2017.01.02.Súlyosság
AlacsonyÉrintett rendszerek
Apache Software FoundationApache Wicket
Érintett verziók
Apache Wicket 1.5.x, 6.x
Összefoglaló
Az Apache Wicket alacsony besorolású sérülékenysége vált ismertté, amelyet kihasználva a támadók szolgáltatás megtagadással (DoS) járó támadást hajthatnak végre.
Leírás
A támadó, a Wicket alkalmazás számára küldött, speciálisan szerkesztett, módosított adatcsomag segítségével, a DiskFileItem sérülékenysége miatt végtelen ciklusba futhat, amikor a komponens a DeferredFileOutputStream tulajdonságot próbálja felülírni. A sérülékenység kihasználása és hatása az ISerializer beállításaitól függ.
Megoldás
Frissítsen a 1.5.17 vagy 6.25.0 verzióra.
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.securitytracker.com
Gyártói referencia: wicket.apache.org
CVE-2016-6793 - NVD CVE-2016-6793