阿里云漏洞库

中危 Apache CXF up to 2.7.3 XML Parser Memory Consumption 拒绝服务漏洞

CVE编号

CVE-2013-2160

利用情况

暂无

补丁情况

官方补丁

披露时间

2013-08-20

漏洞描述

Apache CXF一个开源的Service框架，它实现了JCP与Web Service中一些重要标准。

Apache CXF流机制XML解析器没有对元素，属性数量，接收到的document的嵌套结构进行限制，远程攻击者可以利用漏洞提交特殊的XML文件，应用程序在解析时可消耗大量CPU或使JVM耗尽内存，产生拒绝服务攻击。

解决建议

Apache CXF 2.5.10, 2.6.7和2.7.4已经修复此漏洞，建议用户下载使用：
http://cxf.apache.org/

参考链接
http://jira.codehaus.org/browse/WSTX-285
http://jira.codehaus.org/browse/WSTX-287
http://rhn.redhat.com/errata/RHSA-2013-1028.html
http://rhn.redhat.com/errata/RHSA-2013-1437.html
https://bugzilla.redhat.com/show_bug.cgi?id=929197
https://cxf.apache.org/security-advisories.data/CVE-2013-2160.txt.asc
https://lists.apache.org/thread.html/r36e44ffc1a9b365327df62cdfaabe85b9a5637d...
https://lists.apache.org/thread.html/rc774278135816e7afc943dc9fc78eb0764f2c84...
https://lists.apache.org/thread.html/rd49aabd984ed540c8ff7916d4d79405f3fa311d...
https://lists.apache.org/thread.html/rec7160382badd3ef4ad017a22f64a266c7188b9...
https://lists.apache.org/thread.html/rfb87e0bf3995e7d560afeed750fac9329ff5f1a...
https://lists.apache.org/thread.html/rff42cfa5e7d75b7c1af0e37589140a8f1999e57...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	apache	cxf	2.5.0	-
	运行在以下环境
	应用	apache	cxf	2.5.1	-
	运行在以下环境
	应用	apache	cxf	2.5.2	-
	运行在以下环境
	应用	apache	cxf	2.5.3	-
	运行在以下环境
	应用	apache	cxf	2.5.4	-
	运行在以下环境
	应用	apache	cxf	2.5.5	-
	运行在以下环境
	应用	apache	cxf	2.5.6	-
	运行在以下环境
	应用	apache	cxf	2.5.7	-
	运行在以下环境
	应用	apache	cxf	2.5.8	-
	运行在以下环境
	应用	apache	cxf	2.5.9	-
	运行在以下环境
	应用	apache	cxf	2.6.0	-
	运行在以下环境
	应用	apache	cxf	2.6.1	-
	运行在以下环境
	应用	apache	cxf	2.6.2	-
	运行在以下环境
	应用	apache	cxf	2.6.3	-
	运行在以下环境
	应用	apache	cxf	2.6.4	-
	运行在以下环境
	应用	apache	cxf	2.6.5	-
	运行在以下环境
	应用	apache	cxf	2.6.6	-
	运行在以下环境
	应用	apache	cxf	2.7.0	-
	运行在以下环境
	应用	apache	cxf	2.7.1	-
	运行在以下环境
	应用	apache	cxf	2.7.2	-
	运行在以下环境
	应用	apache	cxf	2.7.3	-

攻击路径

本地
攻击复杂度

困难
权限要求

管控权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-399	资源管理错误