Összefoglaló
Az Apache CXF olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak rendszer információk vagy bizalmas információk felfedésére és szolgáltatás megtagadás (DoS – Denial of Service) előidézésére.
Leírás
A sérülékenységet a CXF XML dokumentum típus deklarációk (DTD) nem megfelelő korlátozása okozza. Ez kihasználható helyi és külső fájlok megállapítására vagy tartalmainak felderítésére, amennyiben azok DTD hivatkozást tartalmaznak, vagy szolgáltatás megtagadás (DoS -Denial of Service) előidézésre, egy processzor- vagy memória erőforrás fogyasztással járó erősen beágyazott DTD küldésével.
A sérülékenységet a 2.0.13-ast, 2.1.10-est és 2.2.9-est megelőző verziókban jelentették.
Megoldás
Frissítsen a 2.0.13-as, 3.1.10-es vagy 2.2.9-es verzióra.
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Information disclosure (Információ/adat szivárgás)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: svn.apache.org
Egyéb referencia: www.listware.net
SECUNIA 40969
CVE-2010-2076 - NVD CVE-2010-2076