DFN-CERT-2016-2136 libxml2: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe und das Ausführen beliebigen Programmcodes [Linux][Debian]

DFN-CERT-2016-2136 libxml2: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe und das Ausführen beliebigen Programmcodes [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

LibXML2

Betroffene Plattformen:

Debian Linux 8.6 Jessie
Debian Linux 9.0 Stretch

Zwei Schwachstellen in der Bibliothek libxml2 ermöglichen einem entfernten,
nicht authentifizierten Angreifer die Durchführung von
Denial-of-Service-Angriffen sowie das Ausführen beliebigen Programmcodes.

Debian stellt für die stabile Distribution Jessie (8.6) sowie die testing
Distribution Stretch (9.0) Sicherheitsupdates zur Behebung der beiden
Schwachstellen bereit.

Patch:

Debian Security Advisory DSA-3744-1

https://www.debian.org/security/2016/dsa-3744

CVE-2016-4658: Schwachstelle in libxml ermöglicht Ausführung beliebigen
Programmcodes

Zur Vermeidung des Zugriffs auf bereits freigegebene Speicherbereiche
(Use-after-free) müssen Namensraumknoten (Namespace Nodes) kopiert werden.
Innerhalb von ‘XPointer Ranges’ in XML-Dokumenten haben diese aber nicht
notwendigerweise eine physikalische Entsprechung. Ein entfernter, nicht
authentisierter Angreifer kann mit Hilfe eines speziell präparierten
XML-Dokuments auf bereits freigegebene Speicherbereiche zugreifen und einen
Denial-of-Service (DoS)-Angriff durchführen oder beliebigen Programmcode zur
Ausführung bringen.

CVE-2016-5131: Schwachstelle in libxml ermöglicht Ausführen beliebigen
Programmcodes

Unter anderem in Google Chrome und Chromium vor Version 52.0.2743.82 sowie
Apple iOS und Mac OS X existiert eine nicht näher beschriebene Schwachstelle
in der Komponente libxml, durch die Speicherbereiche nach deren Freigabe
weiterhin verwendet werden können (Use-after-free). Ein entfernter, nicht
authentifizierter Angreifer kann durch das Ausnutzen der Schwachstelle einen
Denial-of-Service (DoS)-Zustand herbeiführen oder möglicherweise beliebigen
Programmcode zur Ausführung bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-2136/

Schwachstelle CVE-2016-5131 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5131

Schwachstelle CVE-2016-4658 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4658

Debian Security Advisory DSA-3744-1:
https://www.debian.org/security/2016/dsa-3744

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben