发布日期：2018-03-22
更新日期：2018-03-27

受影响系统：

Apache Group Commons Compress 1.11－1.15

描述：

---

BUGTRAQ  ID: 103490
CVE(CAN) ID: CVE-2018-1324

Apache Commons Compress库定义了一个API，可处理ar、cpio、Unix dump、tar、zip、gzip、XZ、Pack200、bzip2文件。

Apache Commons Compress 1.11－1.15版本，ZipFile及ZipArchiveInputStream类使用的额外字段解析器在处理构造的ZIP文档时会造成无限循环，这可使攻击者针对受影响服务执行拒绝服务攻击。

<*来源：Luis Filipe Nassif
  *>

建议：

---

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.apache.org/
https://lists.apache.org/thread.html/1c7b6df6d1c5c8583518a0afa017782924918e4d6acfaf23ed5b2089@%3Cdev.commons.apache.org%3E

浏览次数：1878
严重程度：0（网友投票）