CERTA-2004-AVI-051

Vulnerability from certfr_avis - Published: - Updated:

Une vulnérabilité de type débordement de mémoire a été découverte dans la bibliothèque libxml2.

Description

La bibliothèque libxml2 sert pour le traitement des données au format XML. Elle est notamment utilisée par les bureaux Gnome et KDE sur les plates-formes Unix.

Lorsque la bibliothèque libxml2 analyse des données depuis une ressource distante via FTP ou HTTP, elle utilise des routines spécifiques pour traiter les données.

Si une URL très longue est utilisée, il est possible de provoquer un débordement de mémoire. Cette vulnérabilité peut être exploitée par un utilisateur distant mal intentionné pour exécuter du code arbitraire sur le système vulnérable.

Solution

Appliquer le correctif de l'éditeur.

Bibliothèque libxml2 version 2.6.5 et antérieures.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003eBiblioth\u00e8que libxml2 version 2.6.5 et  ant\u00e9rieures.\u003c/p\u003e",
  "content": "## Description\n\nLa biblioth\u00e8que libxml2 sert pour le traitement des donn\u00e9es au format\nXML. Elle est notamment utilis\u00e9e par les bureaux Gnome et KDE sur les\nplates-formes Unix.  \n\nLorsque la biblioth\u00e8que libxml2 analyse des donn\u00e9es depuis une ressource\ndistante via FTP ou HTTP, elle utilise des routines sp\u00e9cifiques pour\ntraiter les donn\u00e9es.  \n\nSi une URL tr\u00e8s longue est utilis\u00e9e, il est possible de provoquer un\nd\u00e9bordement de m\u00e9moire. Cette vuln\u00e9rabilit\u00e9 peut \u00eatre exploit\u00e9e par un\nutilisateur distant mal intentionn\u00e9 pour ex\u00e9cuter du code arbitraire sur\nle syst\u00e8me vuln\u00e9rable.\n\n## Solution\n\nAppliquer le correctif de l\u0027\u00e9diteur.\n",
  "cves": [],
  "links": [
    {
      "title": "Avis de s\u00e9curit\u00e9 Mandrake MDKSA-2004:018 :",
      "url": "http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:018"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 RedHat RHSA-2004:091-07 :",
      "url": "http://rhn.redhat.com/errata/RHSA-2004-091.html"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 Gentoo GLSA 200403-01 :",
      "url": "http://lists.netsys.com/pipermail/full-disclosure/2004-March/018344.html"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 Debian DSA 455-1 :",
      "url": "http://www.debian.org/security/2004/dsa-455"
    },
    {
      "title": "Mise \u00e0 jour de s\u00e9curit\u00e9 du paquetage NetBSD libxml2 :",
      "url": "ftp://ftp.netbsd.org/pub/NetBSD/packages/distfiles/vulnerabilities"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 FreeBSD du 25 f\u00e9vrier 2004 :",
      "url": "http://www.vuxml.org/freebsd/"
    }
  ],
  "reference": "CERTA-2004-AVI-051",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2004-02-27T00:00:00.000000"
    },
    {
      "description": "corrections et mises \u00e0 jour des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 RedHat.",
      "revision_date": "2004-03-03T00:00:00.000000"
    },
    {
      "description": "ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 Debian et Mandrake.",
      "revision_date": "2004-03-04T00:00:00.000000"
    },
    {
      "description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Gentoo.",
      "revision_date": "2004-03-08T00:00:00.000000"
    },
    {
      "description": "ajout r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 FreeBSD et NetBSD.",
      "revision_date": "2004-05-12T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 de type d\u00e9bordement de m\u00e9moire a \u00e9t\u00e9 d\u00e9couverte dans\nla biblioth\u00e8que libxml2.\n",
  "title": "Vuln\u00e9rabilit\u00e9 de la biblioth\u00e8que libxml2",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis de s\u00e9curit\u00e9 RedHat RHSA-2004:090-06",
      "url": "http://rhn.redhat.com/errata/RHSA-2004-090.html"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.