[資訊] XML Parser DOS

作者wstd (聽說燉黃金很好吃喔)

看板Python

標題[資訊] XML Parser DOS

時間Wed Feb 20 23:51:03 2013

今天Python官方發佈Django的Security Issue http://blog.python.org/2013/02/announcing-defusedxml-fixes-for-xml.html https://www.djangoproject.com/weblog/2013/feb/19/security/ 這次似乎是個老問題也就是一般的XML Parser讀到這個小小的檔案卻會用掉3GB的記憶體 http://en.wikipedia.org/wiki/Billion_laughs 所以大部分的XML Parser都會做過特殊的設定不處理這樣的東西有用XML Parser去讀Request的人記得要Patch!! -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 202.174.4.5