Apache XML Security aláírás kulcs feldolgozás szolgáltatás megtagadási sérülékenységek


2011. július 7. 12:25

CH azonosító

CH-5149

Angol cím

Apache XML Security Signature Key Parsing Denial of Service Vulnerabilities

Felfedezés dátuma

2011.07.06.

Súlyosság

Alacsony

Érintett rendszerek

Apache Software Foundation
Apache XML Security (C++)

Érintett verziók

Apache XML Security (C++) 1.x

Összefoglaló

Az Apache XML Security több sérülékenységét jelentették, amelyeket kihasználva a támadók szolgáltatás megtagadást (DoS – Denial of Service) okozhatnak egy, a könyvtárat használó alkalmazással.

Leírás

A sérülékenységeket RSA, DSA vagy ECDSA kulccsal aláírt fájlok XML szignatúrájának létrehozása vagy ellenőrzése során fellépő ciklushiba (off-by-one) okozza. Ezt kihasználva összeomlás idézhető elő túlságosan hosszú kulcsokon keresztül.

A sérülékenységet az 1.6.1 előtti verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)
Security bypass (Biztonsági szabályok megkerülése)

Hatás

Loss of availability (Elérhetőség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: santuario.apache.org
Gyártói referencia: issues.apache.org
SECUNIA 45151
CVE-2011-2516 - NVD CVE-2011-2516

Legfrissebb sérülékenységek
CVE-2023-20889 – VMware Aria Operations for Networks sérülékenysége
CVE-2023-20888 – VMware Aria Operations for Networks sérülékenysége
CVE-2023-20887 – VMware Aria Operations for Networks sérülékenysége
CVE-2023-20178 – Cisco AnyConnect Secure Mobility Client sérülékenysége
CVE-2023-3079 – Google Chrome sérülékenysége
CVE-2023-34362 – Progress MOVEit Transfer sérülékenysége
CVE-2023-33960 – OpenProject sérülékenysége
CVE-2023-32324 – OpenPrinting CUPS sérülékenysége
CVE-2023-28066 – Dell OS Recovery Tool sérülékenysége
CVE-2023-26278 – IBM QRadar WinCollect Agent sérülékenysége
Tovább a sérülékenységekhez »