DFN-CERT-2012-2195 Schwachstelle in der Bibliothek libxml2 [Linux][Debian]

DFN-CERT-2012-2195 Schwachstelle in der Bibliothek libxml2 [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket libxml2 in Debian GNU/Linux 6.0 (squeeze) vor Version
2.7.8.dfsg-2+squeeze6
Paket libxml2 in Debian GNU/Linux unstable (sid) vor Version 2.8.0+dfsg1-7

Betroffene Plattformen:

Debian GNU/Linux 6.0 (squeeze)
Debian GNU/Linux unstable (sid)

Die Bibliothek libxml2 enthält eine Schwachstelle, die ein entfernter
Angreifer ausnutzen kann, um Anwendungen, die die Bibliothek verwenden, zum
Absturz zu bringen und möglicherweise beliebigen Code zur Ausführung zu
bringen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://security.debian.org/pool/updates/main/

CVE-2012-5134: Heap-Overflow in der Bibliothek libxml2

Die Bibliothek libxml2 enthält in den Versionen vor 2.9.0 eine Schwachstelle
in der Funktion xmlParseAttValueComplex(). Beim Dekodieren von XML-Entities
durch kann ein Buffer-Overflow im Heap-Segment auftreten. Ein entfernter
Angreifer kann diese Schwachstelle mittels eines speziell konstruierten
XML-Dokumentes ausnutzen, um die Anwendung, die die Bibliothek verwendet,
zum Absturz zu bringen oder um unter Umständen beliebigen Code mit deren
Rechten auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-2195/

Das Hersteller Advisory:
http://www.debian.org/security/2012/dsa-2580

Schwachstelle CVE-2012-5134:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5134

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben