Apache Tapestry拒绝服务漏洞

CVE编号

CVE-2014-1972

利用情况

暂无

补丁情况

N/A

披露时间

2015-08-23
漏洞描述
Apache Tapestry是美国阿帕奇(Apache)软件基金会所研发的一套用来创建基于Java的Web应用程序框架。

Apache Tapestry 5.3.6之前版本中存在安全漏洞,该漏洞源于程序在客户端存储对象时未能检查对象是否被篡改。远程攻击者可借助特制的序列化数据利用该漏洞造成拒绝服务(资源消耗),或执行任意代码。
解决建议
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://tapestry.apache.org/release-notes-536.html
参考链接
http://jvn.jp/en/jp/JVN17611367/index.html
http://jvndb.jvn.jp/jvndb/JVNDB-2015-000118
http://seclists.org/fulldisclosure/2019/Aug/20
http://www.openwall.com/lists/oss-security/2019/08/23/5
https://issues.apache.org/jira/browse/TAP5-2008
https://lists.apache.org/thread.html/84e99dedad2ecb4676de93c3ab73a8a10882951a...
https://lists.apache.org/thread.html/bac8d6f9e1b4059b319d9cba6f33219a99b81623...
https://lists.apache.org/thread.html/r7d9c54beb1dc97dcccc58d9b5d31f0f7166f9a2...
https://lists.apache.org/thread.html/r87523dd07886223aa086edc25fe9b8ddb9c1090...
https://tapestry.apache.org/release-notes-536.html
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 apache tapestry * Up to
(including)
5.3.5
CVSS3评分
7.8
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    N/A
  • 用户交互
  • 可用性
    完全地
  • 保密性
  • 完整性
AV:N/AC:L/Au:N/C:N/I:N/A:C
CWE-ID 漏洞类型
CWE-399 资源管理错误
阿里云安全产品覆盖情况