Vigil@nce - libxml2 : déni de service via EOF
janvier 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut envoyer des données XML tronquées à une
application liée à libxml2, afin de la stopper.
Gravité : 2/4
Date création : 16/12/2011
PRODUITS CONCERNÉS
– Mandriva Enterprise Server
– Mandriva Linux
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
La bibliothèque libxml2 implémente un analyseur XML.
Lorsque libxml2 analyse des données XML tronquées, les fonctions
xmlParsePI() et xmlParseElement() du fichier parser.c ne détectent
pas la fin des données. Elles cherchent alors à lire à une adresse
mémoire invalide.
Un attaquant peut donc envoyer des données XML tronquées à une
application liée à libxml2, afin de la stopper.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/libxml2-deni-de-service-via-EOF-11233