DFN-CERT-2015-0425 LibXML2: Zwei Schwachstellen ermöglichen XXE- und Denial-of-Service-Angriffe [Linux][Fedora]

DFN-CERT-2015-0425 LibXML2: Zwei Schwachstellen ermöglichen XXE- und Denial-of-Service-Angriffe [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

libxml2 <= 2.9.1 Betroffene Plattformen: Red Hat Fedora 20 Red Hat Fedora 21 Durch Ausnutzen dieser Schwachstellen in LibXML2 kann entfernter, nicht authentifizierter Angreifer einen "XML eXternal Entities (XXE)"- oder einen Denial-of-Service (DoS)-Angriff durchführen. Für Fedora 20 und 21 werden Sicherheitsupdates in Form der Pakete libxml2-2.9.1-4.fc20, bzw. libxml2-2.9.1-7.fc21 (jeweils im Status "testing") zur Verfügung gestellt, um die Schwachstellen zu beheben. Patch: Fedora Security Update FEDORA-2015-4658 https://admin.fedoraproject.org/updates/FEDORA-2015-4658/libxml2-2.9.1-7.fc21

Patch:

Fedora Security Update FEDORA-2015-4719

https://admin.fedoraproject.org/updates/FEDORA-2015-4719/libxml2-2.9.1-4.fc20

CVE-2014-3660: Denial-of-Service-Schwachstelle in LibXML2

Eine Schwachstelle in der LibXML2 führt dazu, dass ein präpariertes
XML-Dokument in einer Anwendung, die LibXML eingebunden hat, eine extreme
CPU-Auslastung verursachen kann. Es kommt dabei zu einem extensiven Ersetzen
von Objekten, selbst wenn das Ersetzen von Objekten deaktiviert ist, was der
Standardeinstellung entspricht.

CVE-2014-0191: XXE-Schwachstelle in libxml2

Auch wenn die Substitution von externen Entitäten nicht erlaubt ist, werden
in XML-Dateien referenzierte externe Entitäten von libxml2 nachgeladen. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle für
“XML eXternal Entities (XXE)”-Angriffe ausnutzen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0425/

Schwachstelle CVE-2014-0191 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0191

Schwachstelle CVE-2014-3660 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3660

Fedora Security Update FEDORA-2015-4658:
https://admin.fedoraproject.org/updates/FEDORA-2015-4658/libxml2-2.9.1-7.fc21

Fedora Security Update FEDORA-2015-4719:
https://admin.fedoraproject.org/updates/FEDORA-2015-4719/libxml2-2.9.1-4.fc20

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben