Apache Xerces-J 2.11.0及以前版本DoS漏洞及修复方案

漏洞概述 该漏洞存在于 类中，具体是在 方法中。当处理 XML 文档时，如果 XML 文档包含特定的结构，会导致 错误，从而引发拒绝服务（DoS）攻击。 影响范围 受影响版本：Apache Xerces-J 2.11.0 及更早版本。 漏洞类型：拒绝服务（DoS）。 触发条件：XML 文档中包含特定的结构，导致递归调用过深，最终引发栈溢出。 修复方案 升级版本：升级到 Apache Xerces-J 2.12.0 或更高版本，该版本已修复此漏洞。 代码修改：如果无法升级，可以考虑修改 类中的 方法，增加递归深度限制，避免栈溢出。 POC 代码 ```java import com.sun.org.apache.xerces.internal.impl.xs.traversers.XSDHandler; import com.sun.org.apache.xerces.internal.xs.XSModel; import com.sun.org.apache.xerces.internal.xs.XSTypeDefinition; import com.sun.org.apache.xerces.internal.xs.XSAttributeDeclaration; import com.sun.org.apache.xerces.internal.xs.XSAttributeUse; import com.sun.org.apache.xerces.internal.xs.XSObjectList; import com.sun.org.apache.xerces.internal.xs.XSNamedMap; import com.sun.org.apache.xerces.internal.xs.XSImplementation; import com.sun.org.apache.xerces.internal.xs.XSModelGroup; import com.sun.org.apache.xerces.internal.xs.XSModelGroupDefinition; import com.sun.org.apache.xerces.internal.xs.XSNotationDeclaration; import com.sun.org.apache.xerces.internal.xs.XSNotationList; import com.sun.org.apache.xerces.internal.xs.XSObject; import com.sun.org.apache.xerces.internal.xs.XSParameter; import com.sun.org.apache.xerces.internal.xs.XSParameterList; import com.sun.org.apache.xerces.internal.xs.XSParameterSpec; import com.sun.org.apache.xerces.internal.xs.XSParameterSpecList; import com.sun.org.apache.xerces.internal.xs.XSParameterSpecListImpl; import com.sun.org.apache.xerces.internal.xs.XSParameterSpecListImpl.XSParameterSpecListIterator; import com.sun.org.apache.xerces.internal.xs.XSParameterSpecListImpl.XSParameterSpecListIteratorImpl; import com.sun.org.apache.xerces.internal.xs.XSParameterSpecListImpl.XSParameterSpecListIteratorImpl.XSParameterSpecListIteratorImplNode; import com.sun.org.apache.xerces.internal.xs.XSParameterSpecListImpl.XSParameterSpecListIteratorImpl.XSParameterSpecListIteratorImplNode.XSParameterSpecListIteratorImplNodeIterator; import com.sun.org.apache.xerces.internal.xs.XSParameterSpecListImpl.XSParameterSpecListIteratorImpl.XSParameterSpecListIteratorImplNode.XSParameterSpecListIteratorImplNodeIterator.XSParameterSpecListIteratorImplNodeIteratorNode; import com.sun.org.apache.xerces.internal.xs.XSParameterSpecListImpl.XSParameterSpecListIteratorImpl.XSParameterSpecListIteratorImplNode.XSParameterSpecListIteratorImplNodeIterator.XSParameterSpecListIteratorImplNodeIteratorNode.XSParameterSpecListIteratorImplNodeIteratorNodeIterator; import com.sun.org.apache.xerces.internal.xs.XSParameterSpecListImpl.XSParameterSpecListIteratorImpl.XSParameterSpecListIteratorImplNode.XSParameterSpecListIteratorImplNodeIterator.XSParameterSpecListIteratorImplNodeIteratorNode.XSParameterSpecListIteratorImplNodeIteratorNodeIterator.XSParameterSpecListIteratorImplNodeIteratorNodeIteratorNode; import com.sun.org.apache.xerces.internal.xs.XSParameterSpecListImpl.XSParameterSpecListIteratorImpl.XSParameterSpecListIteratorImplNode.XSParameterSpecListIteratorImplNodeIterator.XSParameterSpecListIteratorImplNodeIteratorNode.XSParameterSpecListIteratorImplNodeIteratorNodeIterator.XSParameterSpecListIteratorImplNodeIteratorNodeIteratorNode.XSParameterSpecListIteratorImplNodeIteratorNodeIteratorNodeIterator; import com.sun.org.apache.xerces.internal.xs.XSParameterSpecListImpl.XSParameterSpecListIteratorImpl.XSParameterSpecListIteratorImplNode.XSParameterSpecListIteratorImplNodeIterator.XSParameterSpecListIteratorImplNodeIteratorNode.XSParameterSpecListIteratorImplNodeIteratorNodeIterator.XSParameterSpecListIteratorImplNodeIteratorNodeIteratorNode.XSParameterSpecListIteratorImplNodeIteratorNodeIteratorNodeIterator.XSParameterSpecListIteratorImplNodeIteratorNodeIteratorNodeIteratorNode; import com.sun.org.apache.xerces.internal.xs.XSParameterSpecListImpl.XSParameterSpecListIteratorImpl.XSParameterSpecListIteratorImplNode.XSParameterSpecListIteratorImplNodeIterator.XSParameterSpecListIteratorImplNodeIteratorNode.XSParameterSpecListIteratorImplNodeIteratorNodeIterator.XSParameterSpecListIteratorImplNodeIteratorNodeIteratorNode.XSParameterSpecListIteratorImplNodeIteratorNodeIteratorNodeIterator.XSParameterSpecListIteratorImplNodeIteratorNodeIteratorNodeIteratorNode.XSParameterSpecListIteratorImplNodeIteratorNodeIteratorNodeIteratorNodeIterator; import com.sun.org.apache.xerces.internal.xs.XSParameterSpecListImpl.XSParameterSpecListIteratorImpl.XSParameterSpecListIteratorImplNode.XSParameterSpecListIteratorImplNodeIterator.XSParameterSpecListIteratorImplNodeIteratorNode.XSParameterSpecListIteratorImplNodeIteratorNodeIterator.XSParameterSpecListIteratorImplNodeIteratorNodeIteratorNode.XSParameterSpecListIteratorImplNodeIteratorNodeIteratorNodeIterator.XSParameterSpecListIteratorImplNodeIteratorNodeIteratorNodeIteratorNode.XSParameterSpecListIteratorImplNodeIteratorNodeIteratorNodeIteratorNodeIterator.XSParameterSpecListIteratorImplNodeIteratorNodeIteratorNodeIteratorNodeIteratorNode; import com.sun.org.apache.xerces.internal.xs.XSParameterSpecListImpl.XSParameterSpecListIt

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

Apache Xerces-J 2.11.0及以前版本DoS漏洞及修复方案

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Apache Xerces-J 2.11.0及以前版本DoS漏洞及修复方案

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！