发布日期：2019-07-11
更新日期：2019-07-11

受影响系统：

Apache Mesos 1.7
Apache Mesos 1.6.1
Apache Mesos 1.6
Apache Mesos 1.5.1
Apache Mesos 1.5
Apache Mesos 1.4.2
Apache Mesos 1.4.1
Apache Mesos 1.4

不受影响系统：

Apache Mesos 1.7.1
Apache Mesos 1.6.2
Apache Mesos 1.5.2
Apache Mesos 1.4.3

描述：

---

BUGTRAQ  ID: 107281
CVE(CAN) ID: CVE-2018-11793

Apache Mesos是美国Apache软件基金会的一套支持Hadoop、ElasticSearch和Spark等应用架构的开源群集管理软件。
Apache Mesos中存在拒绝服务漏洞，该漏洞源于Apache Mesos1 1.4.x之前版本、1.4.0至1.4.2、1.5.0至1.5.1、1.6.0至1.6.1和1.7.0版本中的解析器在解析具有深度嵌套的JSON结构的JSON负载时由于无限递归可能导致堆栈溢出。攻击者可利用该漏洞导致Meos主机拒绝服务，从而导致Meos控制的集群无法运行。

<*来源：Terry Chia
  
  链接：https://seclists.org/oss-sec/2019/q1/156
*>

建议：

---

厂商补丁：

SECLISTS
--------
SECLISTS已经为此发布了一个安全公告（CVE-2018-11793）以及相应补丁:
CVE-2018-11793：CVE-2018-11793: Mesos components might crash when parsing deeply nested JSON structures.
链接：https://seclists.org/oss-sec/2019/q1/156

补丁下载：

浏览次数：1208
严重程度：0（网友投票）