Sun等XML漏洞或致拒绝服务攻击

DoSECU 安全报道 8月7日消息:根据Codenomicon的说法,在SUN,Apache Software Foundation和Python Software Foundation的XML库中发现的漏洞会导致应用软件中发生拒绝服务攻击。

Codenomicon公司是制造协议分析模糊工具Defensics的安全厂商,今年初他们增加了一种方法来测试XML代码的漏洞,公司的首席执行官Dave Chartier表示"受到影响的应用软件可能有数百万个"。

Codenomicon与安全行业的同仁和开源社区分享了他们的发现,针对与XML有关的漏洞的建议和补丁预计会在周三推出。另外与Codenomicon合作密切的芬兰Computer Emergency Response Team有望出版一份全面的安全建议书。

模糊工具有时也被称作负面测试工具,它通过猜测有效的请求和异动来观察代码如何反应,以此来测试代码中存在的漏洞。Codenomicon公司发现在XML剖析器中的漏洞很容易导致拒绝服务攻击,数据中断,甚至会使用基于XML的内容来传递恶意有效负载。

据Codenomicon介绍,这个漏洞是诱骗用户来公开特定的XML文件,或者向处理XML文本内容的网络服务提交恶意请求。Chartier表示据推测攻击者会利用与XML有关的攻击,因此他建议企业用户按照专家推荐的建议来采取措施,比如说打补丁。

公司指出,XML被广泛应用于.NET, SOAP, VoIP,网络服务和行业自动化应用软件。

CERT-FI的负责人Erka Koivunen表示"XML执行是非常普遍的,在你意料之外的系统和服务中也能发现他们。对我们来说,使用被感染的库的最终用户和企业将系统软件升级为最新版本是至关重要的。这项公告仅仅是长期补救过程的开始,只有到生产系统都配置了补丁就算技术"。

Codenomicon希望能在2009年9月美国迈阿密举行的Hacker Halted大会上对各种XML风险进行深入探讨。