发布日期：2015-01-19
更新日期：2015-01-20

受影响系统：

Apache Group Santuario XML Security For JAVA 2.0.x

描述：

---

BUGTRAQ  ID: 72115
CVE(CAN) ID: CVE-2014-8152

Apache Santuario项目致力于XML主要安全标准的实现。

Apache Santuario XML Security for Java 2.0.3之前版本可以修改某些XML文档，流XML签名验证代码在验证签名时不会报告错误，攻击者可利用此漏洞绕过某些安全限制。XML签名的"in-memory" (DOM) API、JSR-105 API、使用Apache Santuario流功能的Web服务栈不受影响。

<*来源：Apache
  *>

建议：

---

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://svn.apache.org/viewvc?view=revision&revision=1634334

http://santuario.apache.org/secadv.data/CVE-2014-8152.txt.asc?version=1&modificationDate=1421673805694&api=v2

浏览次数：1571
严重程度：0（网友投票）