发布日期：2012-08-28
更新日期：2012-08-28

受影响系统：

Eucalyptus Eucalyptus < 3.0.1

描述：

---

CVE(CAN) ID: CVE-2012-4063

Elastic Utility Computing Architecture for Linking Your Programs To Useful Systems （Eucalyptus） 是一种开源的软件基础结构，用来通过计算集群或工作站群实现弹性的、实用的云计算。

Eucalyptus 3.1.0及更早版本内使用的Apache Santuario (Java的XML安全)库配置存在安全漏洞。Eucalyptus中基于Java的组件使用Apache Santuario库处理SOAP请求中的数字签名，该库配置允许使用XSLT和XPath等XML签名转换方法，恶意用户可以利用这些方法进行拒绝服务攻击。

<*来源：Eucalyptus Security Team
  
  链接：http://www.eucalyptus.com/eucalyptus-cloud/security/esa-05
*>

建议：

---

厂商补丁：

Eucalyptus
----------
Eucalyptus已经为此发布了一个安全公告（esa-05）以及相应补丁:

esa-05：ESA-05: INSECURE APACHE SANTUARIO (XML SECURITY) LIBRARY CONFIGURATION

链接：http://www.eucalyptus.com/eucalyptus-cloud/security/esa-05

浏览次数：1864
严重程度：0（网友投票）