Apache POI是美国阿帕奇(Apache)软件基金会的一个开源函数库,它提供API给Java程序可对Microsoft Office格式档案进行读和写。 Apache POI 3.8和早期版本中存在拒绝服务漏洞,该漏洞源于在分配缓冲区之前缺少对UnhandledDataStructure()构造函数(src/org/apache/poi/hwpf/model/UnhandledDataStructure.java)中“length”属性的验证检查。攻击者可利用该漏洞借助特制CDF(Channel Definition Format)或者CFBF(Compound File Binary Format)文档分配任意大小的内存,导致OutofMemoryError或者可能导致JVM(Java Virtual Machine)变得不稳定。
Apache POI是美国阿帕奇(Apache)软件基金会的一个开源函数库,它提供API给Java程序可对Microsoft Office格式档案进行读和写。 Apache POI 3.8和早期版本中存在拒绝服务漏洞,该漏洞源于在分配缓冲区之前缺少对UnhandledDataStructure()构造函数(src/org/apache/poi/hwpf/model/UnhandledDataStructure.java)中“length”属性的验证检查。攻击者可利用该漏洞借助特制CDF(Channel Definition Format)或者CFBF(Compound File Binary Format)文档分配任意大小的内存,导致OutofMemoryError或者可能导致JVM(Java Virtual Machine)变得不稳定。