Vigil@nce - libxml2 : débordement de tampon via les appels d’entités
décembre 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut créer un fichier XML contenant des appels
d’entités illicites, afin d’exécuter du code.
Produits concernés : Debian, MES, Mandriva Linux, openSUSE, RHEL,
Slackware, SUSE Linux Enterprise Desktop, SLES
Gravité : 2/4
Date création : 03/12/2012
DESCRIPTION DE LA VULNÉRABILITÉ
Dans un document XML, les attributs peuvent contenir des
références à des entités.
Le décodage des appels d’entités dans les attributs n’est pas géré
correctement. Les détails techniques ne sont pas connus. En
particulier, les modifications amont référencées dans la source
d’information ne correspondent pas à la description de l’erreur la
plus répandue.
Un attaquant peut donc créer un fichier XML contenant des appels
d’entités illicites, afin d’exécuter du code.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/libxml2-debordement-de-tampon-via-les-appels-d-entites-12197