DFN-CERT-2014-0628 libxml2: Mehrere Schwachstellen ermöglichen Denial-of-Service und XXE-Angriffe [Linux][RedHat]

DFN-CERT-2014-0628 libxml2: Mehrere Schwachstellen ermöglichen Denial-of-Service und XXE-Angriffe [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

libxml2 <= 2.9.1 Betroffene Plattformen: Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 6.5 AUS Red Hat Enterprise Linux Server 6.5.z EUS Red Hat Enterprise Linux Workstation 6 Mehrere Schwachstellen in der Bibliothek libxml2 ermöglichen einem entfernten, nicht authentifizierten Angreifer entweder einen Denial-of-Service-Angriff oder "XML eXternal Entities (XXE)"-Angriffe durchzuführen. Patch: Red Hat Security Advisory RHSA-2014:0513 http://rhn.redhat.com/errata/RHSA-2014-0513.html

CVE-2014-0191: XXE-Schwachstelle in libxml2

Auch wenn die Substitution von externen Entitäten nicht erlaubt ist, werden
in XML-Dateien referenzierte externe Entitäten von libxml2 nachgeladen. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle für
“XML eXternal Entities (XXE)”-Angriffe ausnutzen.

CVE-2013-2877: Fehlerhafte Speicherzuordnung in LibXML2

Beim Einlesen von XML-Dateien schreibt die Bibliothek LibXML2 die gelesenen
Daten unter bestimmten Umständen über Feldgrenzen hinaus in den Speicher
(Out-of-Bands Read). Ein entfernter Angreifer kann diese Schwachstelle zu
einem Denial-of-Service-Angriff ausnutzen, indem er den Benutzer dazu
bringt, eine entsprechend aufgebaute XML-Datei mit einer verwundbaren
Anwendung, die die Bibliothek einbindet, zu öffnen.

CVE-2013-2877: Fehlerhafte Speicherzuordnung in LibXML2

Beim Einlesen von XML-Dateien schreibt die Bibliothek LibXML2 die gelesenen
Daten unter bestimmten Umständen über Feldgrenzen hinaus in den Speicher
(Out-of-Bands Read). Ein entfernter Angreifer kann diese Schwachstelle zu
einem Denial-of-Service-Angriff ausnutzen, indem er den Benutzer dazu
bringt, eine entsprechend aufgebaute XML-Datei mit einer verwundbaren
Anwendung, die die Bibliothek einbindet, zu öffnen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0628/

Schwachstelle CVE-2013-2877 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2877

Schwachstelle CVE-2014-0191 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0191

Red Hat Security Advisory RHSA-2014:0513:
http://rhn.redhat.com/errata/RHSA-2014-0513.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben