Xerces-C++ 'maxOccurs' XML 解析远程拒绝服务漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1185038 漏洞类型 输入验证
发布时间 2008-10-02 更新时间 2009-03-10
CVE编号 CVE-2008-4482 CNNVD-ID CNNVD-200810-108
漏洞平台 N/A CVSS评分 7.8
|漏洞来源
https://www.securityfocus.com/bid/31533
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200810-108
|漏洞详情
Xerces-C++的XML解析器允许见机行事的攻击者通过具有一个大maxOccurs值的XML图表定义来引起拒绝服务(栈损耗和崩溃),它能够在验证一个XML文件时触发多余的内存损耗。
|受影响的产品
Gentoo Linux Apache Xerces C++ 2.8 Apache Xerces C++ 2.6 .0 Apache Xerces C++ 2.5 .0 Apache Xerces C++ 2.2 Apache Xerces C++ 2.1 .0 Apache Xerces C++ 1.7
|参考资料

来源:BID
名称:31533
链接:http://www.securityfocus.com/bid/31533
来源:XF
名称:xerces-maxoccurs-dos(45596)
链接:http://xforce.iss.net/xforce/xfdb/45596
来源:xerces.apache.org
链接:http://xerces.apache.org/xerces-c/releases.html
来源:SECUNIA
名称:32108
链接:http://secunia.com/advisories/32108
来源:MISC
链接:http://issues.apache.org/jira/browse/XERCESC-1051