阿里云漏洞库

漏洞描述

Apache CXF是一个开源服务框架，用于使用JAX-WS、JAX-RS等前端编程API编译和开发服务。

Apache CXF处理到SOAP端点的较大HTML内容时存在内存不足错误，CXF会根据输入创建错误消息，导致内存耗尽，拒绝服务。

解决建议

用户可参考如下供应商提供的安全公告获得补丁信息：
http://cxf.apache.org/security-advisories.data/CVE-2014-0109.txt.asc
补丁下载：
https://git-wip-us.apache.org/repos/asf?p=cxf.git;a=commit;h=f8ed98e684c1a67a77ae8726db05a04a4978a445

参考链接
http://rhn.redhat.com/errata/RHSA-2014-1351.html
http://rhn.redhat.com/errata/RHSA-2015-0850.html
http://rhn.redhat.com/errata/RHSA-2015-0851.html
http://www.securitytracker.com/id/1030201
https://cxf.apache.org/security-advisories.data/CVE-2014-0109.txt.asc?version...
https://lists.apache.org/thread.html/r36e44ffc1a9b365327df62cdfaabe85b9a5637d...
https://lists.apache.org/thread.html/rc774278135816e7afc943dc9fc78eb0764f2c84...
https://lists.apache.org/thread.html/rd49aabd984ed540c8ff7916d4d79405f3fa311d...
https://lists.apache.org/thread.html/rec7160382badd3ef4ad017a22f64a266c7188b9...
https://lists.apache.org/thread.html/rfb87e0bf3995e7d560afeed750fac9329ff5f1a...
https://lists.apache.org/thread.html/rff42cfa5e7d75b7c1af0e37589140a8f1999e57...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	apache	cxf	*		Up to (including) 2.6.13
	运行在以下环境
	应用	apache	cxf	2.4.0	-
	运行在以下环境
	应用	apache	cxf	2.4.1	-
	运行在以下环境
	应用	apache	cxf	2.4.2	-
	运行在以下环境
	应用	apache	cxf	2.4.3	-
	运行在以下环境
	应用	apache	cxf	2.4.4	-
	运行在以下环境
	应用	apache	cxf	2.4.5	-
	运行在以下环境
	应用	apache	cxf	2.4.6	-
	运行在以下环境
	应用	apache	cxf	2.4.7	-
	运行在以下环境
	应用	apache	cxf	2.5.0	-
	运行在以下环境
	应用	apache	cxf	2.5.1	-
	运行在以下环境
	应用	apache	cxf	2.5.2	-
	运行在以下环境
	应用	apache	cxf	2.5.3	-
	运行在以下环境
	应用	apache	cxf	2.5.4	-
	运行在以下环境
	应用	apache	cxf	2.5.5	-
	运行在以下环境
	应用	apache	cxf	2.5.6	-
	运行在以下环境
	应用	apache	cxf	2.5.7	-
	运行在以下环境
	应用	apache	cxf	2.5.8	-
	运行在以下环境
	应用	apache	cxf	2.5.9	-
	运行在以下环境
	应用	apache	cxf	2.6.0	-
	运行在以下环境
	应用	apache	cxf	2.6.1	-
	运行在以下环境
	应用	apache	cxf	2.6.10	-
	运行在以下环境
	应用	apache	cxf	2.6.11	-
	运行在以下环境
	应用	apache	cxf	2.6.12	-
	运行在以下环境
	应用	apache	cxf	2.6.2	-
	运行在以下环境
	应用	apache	cxf	2.6.3	-
	运行在以下环境
	应用	apache	cxf	2.6.4	-
	运行在以下环境
	应用	apache	cxf	2.6.5	-
	运行在以下环境
	应用	apache	cxf	2.6.6	-
	运行在以下环境
	应用	apache	cxf	2.6.7	-
	运行在以下环境
	应用	apache	cxf	2.6.8	-
	运行在以下环境
应用	apache	cxf	2.6.9	-
运行在以下环境
应用	apache	cxf	2.7.0	-
运行在以下环境
应用	apache	cxf	2.7.1	-
运行在以下环境
应用	apache	cxf	2.7.10	-
运行在以下环境
应用	apache	cxf	2.7.2	-
运行在以下环境
应用	apache	cxf	2.7.3	-
运行在以下环境
应用	apache	cxf	2.7.4	-
运行在以下环境
应用	apache	cxf	2.7.5	-
运行在以下环境
应用	apache	cxf	2.7.6	-
运行在以下环境
应用	apache	cxf	2.7.7	-
运行在以下环境
应用	apache	cxf	2.7.8	-
运行在以下环境
应用	apache	cxf	2.7.9	-
运行在以下环境
系统	fedora_22	cxf-rt	*		Up to (excluding) 2.7.11-1.fc22

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

传输被破坏
服务器危害

DoS
全网数量

N/A

CWE-ID	漏洞类型
CWE-399	资源管理错误

低危 Apache CXF up to 2.6.13/2.7.10 SOAP HTML Content 拒绝服务漏洞

漏洞描述

解决建议

参考链接

受影响软件情况