Apache Commons Compress拒绝服务漏洞 CVE-2021-35515
💡
原文中文,约1600字,阅读约需4分钟。
📝
内容提要
Apache Commons Compress是一个Java库,用于压缩和解压缩各种格式的文件和流。存在高危漏洞CVE-2021-35515,影响版本1.6至1.20,可能导致拒绝服务攻击。建议升级至已修复版本。
🎯
关键要点
- Apache Commons Compress是一个Java库,用于压缩和解压缩各种格式的文件和流。
- 存在高危漏洞CVE-2021-35515,影响版本1.6至1.20,可能导致拒绝服务攻击。
- 建议升级至已修复版本以避免漏洞风险。
- 该库支持多种压缩格式,包括ZIP、Tar、GZIP、BZIP2、XZ等,适用于多种场景。
- 漏洞类型为CWE-835无限循环,CVSS评分为7.5,属于高危漏洞。
- 漏洞利用条件为使用受影响版本的Apache Commons Compress。
- 漏洞成因是解压缩条目的编解码器列表构建导致无限循环。
- 修复方法是升级Apache Commons Compress至版本1.20以上,避免仅针对7z文件进行过滤。
➡️
