Apache APR-util xml/apr_xml.c文件拒绝服务漏洞
来源:岁月联盟
时间:2009-06-14
Apache Group APR-util 1.3.x
不受影响系统:
Apache Group APR-util 1.3.7
描述:
Apr-util是Apache所使用的Apache可移植运行时工具库。
APR-util库所使用的expat XML解析器(位于xml/apr_xml.c文件的apr_xml_*接口)在处理实体定义中包含有大量嵌套实体引用的XML文件时可能会耗尽所有可用的内存,导致拒绝服务的情况。所有使用APR-util库的expat wrapper接口解析不可信任XML文档的网络服务都受这个漏洞影响,如Apache httpd WebDAV模块mod_dav。
厂商补丁:
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://en.securitylab.ru/bitrix/redirect.php?event3=381000&goto=http%3A%2F%2Fsvn.apache.org%2Fviewvc%3Fview%3Drev%26revision%3D781403
