Vigil@nce - libxml2 : boucle infinie via des entités
octobre 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut créer des données XML malformées, afin de
provoquer un déni de service dans les applications liées à libxml2.
Produits concernés : Debian, Fedora, libxml2, MBS, openSUSE, RHEL,
Ubuntu
Gravité : 2/4
Date création : 16/10/2014
DESCRIPTION DE LA VULNÉRABILITÉ
La bibliothèque libxml2 implémente un analyseur XML.
Cependant, un document XML spécialement construit, avec de
nombreuses substitutions d’entités, force l’analyseur à boucler de
nombreuses fois (attaque de type "billion laughs").
Un attaquant peut donc créer des données XML malformées, afin de
provoquer un déni de service dans les applications liées à libxml2.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/libxml2-boucle-infinie-via-des-entites-15499