发布日期：2019-06-10
更新日期：2019-06-11

受影响系统：

Apache Tika 1.9
Apache Tika 1.7
Apache Tika 1.6
Apache Tika 1.2
Apache Tika 1.18
Apache Tika 1.17
Apache Tika 1.14
Apache Tika 1.13
Apache Tika 1.12
Apache Tika 1.11
Apache Tika 1.10
Apache Tika 0.1
Oracle Business Process Management Suite 12.2.1.2.0
Oracle Business Process Management Suite 12.1.3.0.0
RedHat Software Collections for RHEL

描述：

---

BUGTRAQ  ID: 105514
CVE(CAN) ID: CVE-2018-11761

Apache Tika是一个内容检测和分析框架，用Java编写，在Apache Software Foundation进行了管理。[1]它从超过一千种不同的文件类型中检测和提取元数据和文本，并提供 Java库，具有适用于其他编程语言的服务器和命令行版本。
在Apache Tika 0.1到1.18中，XML解析器未配置为限制实体扩展。因此，他们容易受到实体扩展漏洞的影响，这可能导致拒绝服务攻击。

<*来源：亚马逊的Renfei (Brian) Wang
  
  链接：https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
        https://lists.apache.org/thread.html/5553e10bba5604117967466618f219c0cae710075819c70cfb3fb421@%3Cdev
*>

建议：

---

厂商补丁：

Apache
------
Apache已经为此发布了一个安全公告（）以及相应补丁:
：Apache Tika Denial of Service via XML Entity Expansion Vulnerability
链接：https://lists.apache.org/thread.html/5553e10bba5604117967466618f219c0cae710075819c70cfb3fb421@%3Cdev

补丁下载：



Oracle
------
Oracle已经为此发布了一个安全公告（CVE-2018-11761）以及相应补丁:
CVE-2018-11761：Oracle Critical Patch Update Advisory - April 2019
链接：https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html

补丁下载：

浏览次数：1491
严重程度：0（网友投票）