Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : libxml2, déni de service via une entité

octobre 2008 par Vigil@nce

SYNTHÈSE

Un attaquant peut créer un fichier XML spécial afin de provoquer
un déni de service lors de son analyse par libxml2.

Gravité : 2/4

Conséquences : déni de service du service, déni de service du
client

Provenance : document

Moyen d’attaque : 1 attaque

Compétence de l’attaquant : technicien (2/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 06/10/2008

PRODUITS CONCERNÉS

 Fedora
 Unix - plateforme

DESCRIPTION

La bibliothèque libxml2 implémente des fonctionnalités pour gérer
les données au format XML.

Un fichier XML peut contenir des caractères spéciaux représentés
sous forme d’entités, comme "&abc;". Ces entités sont définies
dans un DOCTYPE.

Un attaquant peut créer une entité appelant une entité standard,
comme "&", et l’appeler dans un attribut. La fonction
xmlParseStringEntityRef() de la bibliothèque libxml2 utilise alors
incorrectement un pointeur, ce qui la stoppe. Cette vulnérabilité
est apparue dans le patch pour corriger VIGILANCE-VUL-8146
(https://vigilance.aql.fr/arbre/1/8146).

Un attaquant peut donc employer une entité spéciale afin de
provoquer un déni de service dans les applications liées à libxml.

CARACTÉRISTIQUES

Références : 554660, BID-31555, CVE-2008-4409, FEDORA-2008-8575, FEDORA-2008-8582, REJ-2008-4422, VIGILANCE-VUL-8147

http://vigilance.aql.fr/vulnerabilite/8147


Voir les articles précédents

    

Voir les articles suivants