漏洞信息详情
Libxml2 Entity Expansion 拒绝服务漏洞
- CNNVD编号:CNNVD-201302-586
- 危害等级: 中危
- CVE编号: CVE-2013-0339
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2013-02-28
- 威胁类型: 远程
- 更新时间: 2014-03-11
- 厂 商: xmlsoft
- 漏洞来源:
漏洞简介
Libxml2是GNOME项目组所研发的一个基于C语言的用来解析XML文档的函数库,它支持多种编码格式、Xpath解析、Well-formed和valid验证等。
libxml2 2.9.1及之前版本中存在安全漏洞。该漏洞源于程序没有正确地处理外部实体扩展。远程攻击者可借助恶意的XML文档利用该漏洞造成拒绝服务(资源消耗),向内网服务器发送HTTP请求,或读取任意文件。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://git.gnome.org/browse/libxml2/commit/?id=4629ee02ac649c27f9c0cf98ba017c6b5526070f
参考网址
来源: git.gnome.org
链接:https://git.gnome.org/browse/libxml2/commit/?id=4629ee02ac649c27f9c0cf98ba017c6b5526070f
来源: bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=915149
来源: UBUNTU
名称: USN-1904-2
链接:http://www.ubuntu.com/usn/USN-1904-2
来源: UBUNTU
名称: USN-1904-1
链接:http://www.ubuntu.com/usn/USN-1904-1
来源: MLIST
名称: [oss-security] 20130412 Re-evaluating expat/libxml2 CVE assignments
链接:http://www.openwall.com/lists/oss-security/2013/04/12/6
来源: DEBIAN
名称: DSA-2652
链接:http://www.debian.org/security/2013/dsa-2652
来源: SECUNIA
名称: 55568
链接:http://secunia.com/advisories/55568
来源: SECUNIA
名称: 54172
链接:http://secunia.com/advisories/54172
来源: SECUNIA
名称: 52662
链接:http://secunia.com/advisories/52662
来源: MLIST
名称: [oss-security] 20131029 Re: CVE Request: libxml2 external parsed entities issue
链接:http://seclists.org/oss-sec/2013/q4/188
来源: MLIST
名称: [oss-security] 20131029 Re: CVE Request: libxml2 external parsed entities issue
链接:http://seclists.org/oss-sec/2013/q4/184
来源: MLIST
名称: [oss-security] 20131028 Re: CVE Request: libxml2 external parsed entities issue
链接:http://seclists.org/oss-sec/2013/q4/182
来源: MLIST
名称: [oss-security] 20130221 CVEs for libxml2 and expat internal and external XML entity expansion
链接:http://openwall.com/lists/oss-security/2013/02/22/3
来源: MLIST
名称: [oss-security] 20130221 CVE Guidance for Libraries and Resource-Consumption DoS
链接:http://openwall.com/lists/oss-security/2013/02/21/24
来源: SUSE
名称: SUSE-SU-2013:1627
链接:http://lists.opensuse.org/opensuse-security-announce/2013-11/msg00002.HTML
来源:SECUNIA
名称:52277
链接:http://secunia.com/advisories/52277
受影响实体
- Xmlsoft Libxml2:1.8.9
- Xmlsoft Libxml2:1.8.7
- Xmlsoft Libxml2:1.8.6
- Xmlsoft Libxml2:1.8.5
- Xmlsoft Libxml2:1.8.4
补丁
- libxml2-23f05e0c33987d6605387b300c4be5da2120a7ab
- libxml2-23f05e0c33987d6605387b300c4be5da2120a7ab
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论