<div><span style="color: rgb(160, 160, 168); ">On Wednesday, February 20, 2013 at 6:08 PM, Antoine Pitrou wrote:</span></div>
                <blockquote type="cite" style="border-left-style:solid;border-width:1px;margin-left:0px;padding-left:10px;"><span><div><div><blockquote type="cite"><div><div>It's not a distributed DoS issue, it's a severe DoS vulnerabilities. A</div><div>single 1 kB XML document can kill virtually any machine, even servers</div><div>with more than hundred GB RAM.</div></div></blockquote><div><br></div><div>Assuming an attacker can inject arbitrary XML. Not every XML document</div><div>is loaded from the Internet.</div></div></div></span></blockquote><div>Even documents not loaded from the internet can be at risk. Often times</div><div>security breaches are the result of a chain of actions. You can say "I'm</div><div>not loading this XML from the internet, so therefore I am safe" but then</div><div>you have another flaw (for example) where you unpack a zip file</div><div>without verifying there are not absolute paths and suddenly your xml file has</div><div>been replaces with a malicious one.</div><blockquote type="cite" style="border-left-style:solid;border-width:1px;margin-left:0px;padding-left:10px;"><span><div><div><div> Not everyone is a security nuts.</div></div></div></span></blockquote><div>This is precisely why things should be safe by default and allow unsafe</div><div>actions to be turned on optionally. </div><div><br>
                </div>