Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - Apache Xerces-C : déni de service via une DTD fortement imbriquée

août 2016 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut soumettre un document XML avec une DTD interne
très imbriquée à Apache Xerces-C, afin de mener un déni de
service.

Produits concernés : Xerces-C++, Debian, Fedora, openSUSE,
Shibboleth SP.

Gravité : 2/4.

Date création : 30/06/2016.

DESCRIPTION DE LA VULNÉRABILITÉ

L’analyseur XML Apache Xerces-C traite les définitions de type de
document, y compris les fragments internes au document XML.

Les DTD sont analysées récursivement. Cependant, il n’y a pas de
limite à la profondeur d’imbrication des définitions
d’éléments. Une DTD extrêmement imbriquée provoque donc un
débordement de pile et la mort du processus applicatif.

Un attaquant peut donc soumettre un document XML avec une DTD
interne très imbriquée à Apache Xerces-C, afin de mener un
déni de service.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

https://vigilance.fr/vulnerabilite/Apache-Xerces-C-deni-de-service-via-une-DTD-fortement-imbriquee-20001


Voir les articles précédents

    

Voir les articles suivants