BUGTRAQ ID: 36080
CVE(CAN) ID: CVE-2009-2473
neon是一款HTTP和WebDAV客户端库。
如果使用了expat库,neon在实体扩展期间没有正确的检测递归。当客户端应用访问恶意的DAV服务器或使用XML解析接口(ne_xml*)解析XML文档的时候,包含有大量嵌套实体引用的特制XML文档就可能耗尽大量内存和CPU资源。
Neon Client Library < 0.28.6
厂商补丁:
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://lists.manyfish.co.uk/pipermail/neon/2009-August/001044.html