低危 Apache拒绝服务漏洞

CVE编号

CVE-2018-11771

利用情况

暂无

补丁情况

官方补丁

披露时间

2018-08-17
漏洞描述
Apache Commons Compress是美国阿帕奇(Apache)软件基金会的一个用于处理压缩文件的库。

Apache Commons Compress 1.7版本至1.17版本中存在拒绝服务漏洞,该漏洞源于在数据流结束后,ZipArchiveInputStream的读取方法未能返回正确的文件结束符指示。攻击者可通过发送特制的ZIP归档文件利用该漏洞造成拒绝服务。
解决建议
厂商已发布了漏洞修复程序,请及时关注更新:
http://commons.apache.org/proper/commons-compress/security-reports.html#Apache_Commons_Compress_Security_Vulnerabilities
参考链接
http://www.securityfocus.com/bid/105139
http://www.securitytracker.com/id/1041503
https://lists.apache.org/thread.html/0adb631517766e793e18a59723e2df08ced41eb9...
https://lists.apache.org/thread.html/3565494c263dfeb4dcb2a71cb24d09a1ca285cd6...
https://lists.apache.org/thread.html/35f60d6d0407c13c39411038ba1aca71d92595ed...
https://lists.apache.org/thread.html/6c79965066c30d4e330e04d911d3761db41b82c8...
https://lists.apache.org/thread.html/714c6ac1b1b50f8557e7342903ef45f1538a7bc6...
https://lists.apache.org/thread.html/b8da751fc0ca949534cdf2744111da6bb0349d27...
https://lists.apache.org/thread.html/b8ef29df0f1d55aa741170748352ae8e425c7b1d...
https://lists.apache.org/thread.html/b907e70bc422905d7962fd18f863f746bf7b4e7e...
https://lists.apache.org/thread.html/c7954dc1e8fafd7ca1449f078953b419ebf8936e...
https://lists.apache.org/thread.html/e3eae9e6fc021c4c22dda59a335d21c12eecab48...
https://lists.apache.org/thread.html/eeecc1669242b28a3777ae13c68b376b0148d589...
https://lists.apache.org/thread.html/f28052d04cb8dbaae39bfd3dc8438e58c2a8be30...
https://lists.apache.org/thread.html/f9cdd32af7d73e943452167d15801db39e813040...
https://lists.apache.org/thread.html/ff8dcfe29377088ab655fda9d585dccd5b1f07fa...
https://www.oracle.com/security-alerts/cpujan2022.html
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 apache commons-compress * From
(including)
1.7.0 		Up to
(including)
1.17.0
运行在以下环境
系统 debian_10 libcommons-compress-java * Up to
(excluding)
1.18-1
运行在以下环境
系统 debian_11 libcommons-compress-java * Up to
(excluding)
1.18-1
运行在以下环境
系统 debian_12 libcommons-compress-java * Up to
(excluding)
1.18-1
运行在以下环境
系统 fedora_28 apache-commons-compress * Up to
(excluding)
1.16.1-2.fc28
运行在以下环境
系统 fedora_29 apache-commons-compress * Up to
(excluding)
1.17-3.fc29
运行在以下环境
系统 ubuntu_20.04 libcommons-compress-java * Up to
(excluding)
1.18-1
运行在以下环境
系统 ubuntu_21.04 libcommons-compress-java * Up to
(excluding)
1.18-1
运行在以下环境
系统 ubuntu_21.10 libcommons-compress-java * Up to
(excluding)
1.18-1
运行在以下环境
系统 ubuntu_22.04 libcommons-compress-java * Up to
(excluding)
1.18-1
运行在以下环境
系统 ubuntu_22.10 libcommons-compress-java * Up to
(excluding)
1.18-1
阿里云评分
2.9
  • 攻击路径
    本地
  • 攻击复杂度
    复杂
  • 权限要求
    无需权限
  • 影响范围
    有限影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    100
CWE-ID 漏洞类型
CWE-835 不可达退出条件的循环(无限循环)
阿里云安全产品覆盖情况