Apache XML Security aláírás kulcs feldolgozás szolgáltatás megtagadási sérülékenységek


2011. július 7. 12:25

CH azonosító

CH-5149

Angol cím

Apache XML Security Signature Key Parsing Denial of Service Vulnerabilities

Felfedezés dátuma

2011.07.06.

Súlyosság

Alacsony

Érintett rendszerek

Apache Software Foundation
Apache XML Security (C++)

Érintett verziók

Apache XML Security (C++) 1.x

Összefoglaló

Az Apache XML Security több sérülékenységét jelentették, amelyeket kihasználva a támadók szolgáltatás megtagadást (DoS – Denial of Service) okozhatnak egy, a könyvtárat használó alkalmazással.

Leírás

A sérülékenységeket RSA, DSA vagy ECDSA kulccsal aláírt fájlok XML szignatúrájának létrehozása vagy ellenőrzése során fellépő ciklushiba (off-by-one) okozza. Ezt kihasználva összeomlás idézhető elő túlságosan hosszú kulcsokon keresztül.

A sérülékenységet az 1.6.1 előtti verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)
Security bypass (Biztonsági szabályok megkerülése)

Hatás

Loss of availability (Elérhetőség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: santuario.apache.org
Gyártói referencia: issues.apache.org
SECUNIA 45151
CVE-2011-2516 - NVD CVE-2011-2516

Legfrissebb sérülékenységek
CVE-2024-20358 – Cisco ASA és FTD sérülékenysége
CVE-2024-20359 – Cisco ASA és FTD sérülékenysége
CVE-2024-20353 – Cisco ASA és FTD sérülékenysége
CVE-2024-31857 – WordPress Forminator plugin sérülékenysége
CVE-2024-31077 – WordPress Forminator plugin sérülékenysége
CVE-2024-28890 – WordPress Forminator plugin sérülékenysége
CVE-2024-20295 – Cisco IMC sérülékenysége
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
Tovább a sérülékenységekhez »