Vigil@nce - libxml2 : boucle infinie de xmlParserEntityCheck
juillet 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut provoquer une récursion infinie dans
xmlStringGetNodeList() de libxml2, afin de mener un déni de
service.
Produits concernés : Debian, libxml2, openSUSE, openSUSE Leap,
RHEL, SLES, Ubuntu.
Gravité : 2/4.
Date création : 03/05/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
La bibliothèque libxml2 contient un analyseur XML.
Cependant, un document malformé provoque une récursion infinie
dans les fonctions xmlParserEntityCheck(), xmlParseEntityValue()
et xmlParseAttValueComplex(), qui épuise la pile.
Un attaquant peut donc provoquer une récursion infinie dans
xmlStringGetNodeList() de libxml2, afin de mener un déni de
service.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/libxml2-boucle-infinie-de-xmlParserEntityCheck-19513