发布日期：2003-12-11
更新日期：2003-12-17

受影响系统：

IBM Websphere Application Server 5.0
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.0 SP1
Microsoft .NET Framework 1.0

描述：

---

BUGTRAQ  ID: 9204

XML DTD(XML的文档类型定义)是近几年来XML技术领域所使用的最广泛的一种模式。

多个不同SOAP服务器在处理部分类型的SOAP请求时存在问题，远程攻击者可以利用这个漏洞对WEB服务进行拒绝服务攻击。

当处理包含引用DTD参数实体的SOAP请求时存在问题，攻击者提交使用恶意构建的DTD数据的SOAP请求，在部分情况下，解析器会在一大段时间后返回内存错误，部分情况下会长时间使CPU利用率达到1005，造成拒绝服务。

<*来源：Amit Klein （Amit.Klein@SanctumInc.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=107116914721063&w=2
        http://www-1.ibm.com/support/docview.wss?rs=180&context=SSEQTP&q=PQ70921&uid=swg24005582
*>

建议：

---

厂商补丁：

IBM
---
IBM已经发布了WebSphere AppServer版本5的补丁：

IBM Websphere Application Server 5.0:

IBM APAR PQ70921_Fix.jar
ftp://ftp.software.ibm.com/software/websphere/appserv/support/fixes/PQ70921/

Microsoft
---------
Microsoft已经发布了知识库文章826231，用户可以根据如下信息进行修正：

http://support.microsoft.com/default.aspx?kbid=826231

浏览次数：2957
严重程度：0（网友投票）