CERTA-2008-AVI-387
Vulnerability from certfr_avis

Une vulnérabilité présente dans libxslt permet à un utilisateur distant de provoquer un déni de service ou potentiellement d'exécuter du code arbitraire.

Description

Une erreur est présente dans la bibliothèque de fonctions libxslt. La vulnérabilité est relative aux fonctions utilisées pour mettre en œuvre du chiffrement de type RC4 au sein d'un fichier XSLT. Un utilisateur distant malintentionné pourra ainsi provoquer un déni de service ou exécuter du code arbitraire au moyen d'une feuille de style XSLT construite de façon particulière.

Solution

Se référer aux bulletins de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).

libxslt versions 1.1.24 et antérieures.

Impacted products
Vendor Product Description
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003elibxslt versions 1.1.24 et ant\u00e9rieures.\u003c/p\u003e",
  "content": "## Description\n\nUne erreur est pr\u00e9sente dans la biblioth\u00e8que de fonctions libxslt. La\nvuln\u00e9rabilit\u00e9 est relative aux fonctions utilis\u00e9es pour mettre en \u0153uvre\ndu chiffrement de type RC4 au sein d\u0027un fichier XSLT. Un utilisateur\ndistant malintentionn\u00e9 pourra ainsi provoquer un d\u00e9ni de service ou\nex\u00e9cuter du code arbitraire au moyen d\u0027une feuille de style XSLT\nconstruite de fa\u00e7on particuli\u00e8re.\n\n## Solution\n\nSe r\u00e9f\u00e9rer aux bulletins de s\u00e9curit\u00e9 des \u00e9diteurs pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2008-2935",
      "url": "https://www.cve.org/CVERecord?id=CVE-2008-2935"
    }
  ],
  "initial_release_date": "2008-08-01T00:00:00",
  "last_revision_date": "2008-08-01T00:00:00",
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2008:0649 du 31 juillet    2008 :",
      "url": "http://rhn.redhat.com/errata/RHSA-2008-0649.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Debian DSA 1624 du 31 juillet 2008 :",
      "url": "http://www.debian.org/security/dsa-1624"
    }
  ],
  "reference": "CERTA-2008-AVI-387",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2008-08-01T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "D\u00e9ni de service \u00e0 distance"
    },
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 pr\u00e9sente dans libxslt permet \u00e0 un utilisateur distant\nde provoquer un d\u00e9ni de service ou potentiellement d\u0027ex\u00e9cuter du code\narbitraire.\n",
  "title": "Vuln\u00e9rabilit\u00e9 de libxslt",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Debian DSA-1624",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.