CH azonosító
CH-9433Angol cím
Apache XML Security Multiple VulnerabilitiesFelfedezés dátuma
2013.06.17.Súlyosság
MagasÉrintett rendszerek
Apache Software FoundationApache XML Security (C++)
Érintett verziók
Apache XML Security (C++) 1.x
Összefoglaló
Az Apache XML Security olyan sérülékenységeit jelentették, amelyeket kihasználva a támadók hamisításos (spoofing) támadásokat követhetnek el, szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő, és feltörhetik a könyvtárat használó alkalmazást.
Leírás
- Az XML Signature Reference feldolgozó kódban bizonyos XPointer kifejezések feldolgozása során fellépő hiba kihasználható verem alapú puffer túlcsordulás előidézésére.
- Egy HMAC alapú XML szignatúra hosszának feldolgozása során fellépő hiba kihasználható összeomlás előidézésére.
- Egy másik HMAC alapú XML szignatúra hosszának feldolgozása során fellépő hiba kihasználható XML adatok meghamisítására (spoof).
Megjegyzés: Ezt a sérülékenységet a CVE-2009-0217 nem teljes hibajavítása okozza. A sérülékenységet bizonyos XML szignatúrák feldolgozása során fellépő hiba okozza. - PrefixList attribútumok feldolgozása során fellépő hiba kihasználható halom alapú puffer túlcsordulás előidézésére.
Az 1. és 4. sérülékenység sikeres kihasználásával tetszőleges kód futtatható.
A sérülékenységeket az 1.7.1 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Other (Egyéb)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: santuario.apache.org
Gyártói referencia: santuario.apache.org
Gyártói referencia: santuario.apache.org
SECUNIA 53590
SECUNIA 35855
CVE-2013-2154 - NVD CVE-2013-2154
CVE-2013-2155 - NVD CVE-2013-2155
CVE-2013-2156 - NVD CVE-2013-2156