DFN-CERT-2017-1408 LibXML2: Eine Schwachstelle ermöglicht u.a. einen Denial-of-Service-Angriff [Linux][SuSE]

DFN-CERT-2017-1408 LibXML2: Eine Schwachstelle ermöglicht u.a. einen Denial-of-Service-Angriff [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

LibXML2

Betroffene Plattformen:

SUSE Linux Enterprise Debuginfo 11 SP4
SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE Linux Enterprise Server 11 SP4

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in
der Bibliothek LibXML2 ausnutzen und über Speichergrenzen hinweg
Lesezugriffe auf dem Pufferspeicher durchführen, wodurch das Ausspähen von
Informationen möglich ist oder ein Denial-of-Service (DoS)-Zustand
herbeigeführt werden kann.

Für die SUSE Linux Enterprise 11 SP4 Produktvarianten Software Development
Kit, Server und Debuginfo stehen Backport-Sicherheitsupdates für ‘libxml2’
bereit.

Patch:

SUSE Security Update SUSE-SU-2017:2115-1

http://lists.suse.com/pipermail/sle-security-updates/2017-August/003125.html

CVE-2017-8872: Schwachstelle in LibXML2 ermöglicht u.a.
Denial-of-Service-Angriff

In der Funktion ‘htmlParseTryOrFinish’ in ‘HTMLparser.c’ in LibXML2 besteht
eine Schwachstelle, die es ermöglicht, Lesezugriffe über die Speichergrenzen
des Pufferspeichers hinaus durchzuführen (Out-of-Bounds Read).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1408/

Schwachstelle CVE-2017-8872 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8872

SUSE Security Update SUSE-SU-2017:2115-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-August/003125.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben