发布日期：2019-06-06
更新日期：2019-06-06

受影响系统：

Apache Apache uimaDUCC 2.2.2
Apache Apache uimaDUCC 2.2
Apache Apache UIMA DUCC 2.2.1
Apache Apache UIMA DUCC 2.1
Apache Apache UIMA DUCC 2.0.1
Apache Apache UIMA DUCC 2.0
Apache Apache UIMA DUCC 1.1
Apache Apache UIMA DUCC 1.0

描述：

---

BUGTRAQ  ID: 108195
CVE(CAN) ID: CVE-2018-8035

DUCC是一个Linux集群控制器，旨在扩展任何UIMA管道，用于高吞吐量收集处理作业以及低延迟实时应用程序。在UIMA-AS的基础上，DUCC特别适合在多个线程中运行大型内存Java分析，以便充分利用多核机器。DUCC管理跨群集部署的所有进程的生命周期，包括非UIMA进程，如tomcat服务器或VNC会话。
此漏洞与用户对DUCC网页输入数据的浏览器处理有关。在用户浏览器中运行的包含Apache UIMA DUCC（<= 2.2.2）的javascript无法充分过滤用户提供的输入，这可能导致用户提供的意外执行javascript代码。

<*来源：Marshall Schor
  *>

建议：

---

厂商补丁：

Apache
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://syncope.apache.org/security.html

浏览次数：2557
严重程度：0（网友投票）