Apache Sling 拒绝服务漏洞

漏洞信息详情

Apache Sling 拒绝服务漏洞

• CNNVD编号：CNNVD-201207-071
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2012-2138
  
• 漏洞类型：
  
  
  权限许可和访问控制
  
• 发布时间：
  
  2012-07-10
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-07-10
  
• 厂        商：
  
  apache
• 漏洞来源：
  IO Active, working…

Apache Sling是美国阿帕奇（Apache）软件基金会的一套用于Java平台上的开源Web框架。该框架可在JCR内容库（Java Content Repository）上创建面向内容的应用。

Apache Sling中的org.apache.sling.servlets.post bundle 2.1.2之前版本中的POST servlet内的@CopyFrom操作中存在漏洞，该漏洞源于未阻止尝试拷贝父节点到其后代节点。远程攻击者可利用该漏洞通过特制的HTTP请求导致拒绝服务（无限循环）。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://issues.apache.org/jira/browse/SLING-2517

来源: issues.apache.org

链接:https://issues.apache.org/jira/browse/SLING-2517

来源: svn.apache.org

链接:http://svn.apache.org/viewvc?view=revision&revision=1352865

来源: MLIST

名称: [www-announce] 20120706 [SECURITY] CVE-2012-2138 Apache Sling denial of service vulnerability

链接:http://mail-archives.apache.org/mod_mbox/www-announce/201207.mbox/%3CCAEWfVJ=PwoQmwJg0KmbrC17Gw51kgfKRsqgy=4RpMQsdGh0bVg@mail.gmail.com%3E

来源:SECUNIA

名称:49840

链接:http://secunia.com/advisories/49840

来源: BID

名称: 54341

链接:http://www.securityfocus.com/bid/54341
来源：NSFOCUS
名称：19961
链接：http://www.nsfocus.net/vulndb/19961

来源：NSFOCUS
名称：19953
链接：http://www.nsfocus.net/vulndb/19953