低危 Oracle Endeca Information Discovery Integrator 12.0/12.1 Integrator ETL 无限循环漏洞

CVE编号

CVE-2017-12626

利用情况

暂无

补丁情况

官方补丁

披露时间

2018-01-30

漏洞描述

Apache POI是美国阿帕奇（Apache）软件基金会的一个开源函数库，它提供API给Java程序可对Microsoft Office格式档案进行读和写。 Apache POI中存在安全漏洞。攻击者可借助特制的WMF、EMF、MSG和宏或特制的DOC、PPT和XLS利用该漏洞造成拒绝服务（内存不足和无限循环）。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://lists.apache.org/thread.html/453d9af5dbabaccd9afb58d27279a9dbfe8e35f4e5ea1645ddd6960b@%3Cdev.poi.apache.org%3E

参考链接
http://www.securityfocus.com/bid/102879
https://access.redhat.com/errata/RHSA-2018:1322
https://lists.apache.org/thread.html/453d9af5dbabaccd9afb58d27279a9dbfe8e35f4...
https://lists.apache.org/thread.html/708d94141126eac03011144a971a6411fcac16d9...
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpuApr2021.html
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	apache	poi	*		Up to (excluding) 3.17
	运行在以下环境
	系统	debian_10	libapache-poi-java	*		Up to (excluding) 3.17-1
	运行在以下环境
	系统	debian_11	libapache-poi-java	*		Up to (excluding) 3.17-1
	运行在以下环境
	系统	debian_12	libapache-poi-java	*		Up to (excluding) 3.17-1
	运行在以下环境
	系统	debian_sid	libapache-poi-java	*		Up to (excluding) 3.17-1
	运行在以下环境
	系统	fedora_28	apache-poi	*		Up to (excluding) 3.17-1.fc28

阿里云评分 3.1

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID	漏洞类型
CWE-835	不可达退出条件的循环（无限循环）

Exp相关链接

- avd.aliyun.com