現在位置: ホーム / セキュリティ ブログ / libxml2に複数の脆弱性

libxml2に複数の脆弱性

libxml2に複数の脆弱性が見つかっています。今回は、これらの情報をまとめてみます。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

6/6(JST)に、Debian/Ubuntuのlibxml2に複数の脆弱性が報告されています。6/24(JST)にRed Hat Enterprise Linux/CentOSでも修正パッケージの提供が報告されており、影響度合いも"Important"のため、ここでは、これらの脆弱性について簡単にまとめてみます。

 


Priority

Important

CVE概要(詳細はCVEのサイトをご確認ください)

  • CVE-2015-8806
    • リモートからのDoS攻撃の可能性

    • 重要度 - High

    • libxml2のdict.cに問題が有り、悪意のあるリモートユーザが細工したHTMLドキュメントを読み出させることにより、ヒープバッファーオーバーリードを引き起こしてDoSを引き起こすことが出来る可能性があります。

  • CVE-2016-1762
    • リモートユーザによる任意のコードの実行又はDoS攻撃の可能性

    • 重要度 - High

    • 細工したXMLドキュメントを読み出させることでメモリコラプションによるDoS攻撃や、任意のコードを実行させることが出来る可能性が有ります。

  • CVE-2016-1833, CVE-2016-1834, CVE-2016-1836, CVE-2016-1837, CVE-2016-1838, CVE-2016-1839, CVE-2016-1840
    • リモートユーザによる任意のコードの実行又はDoS攻撃の可能性

    • 重要度 - High

    • 細工したXMLドキュメントを読み出させることでメモリコラプションによるDoS攻撃や、任意のコードを実行させることが出来る可能性が有ります。CVEはそれぞれ異なる脆弱性です。

  • CVE-2016-1835
    • リモートユーザによる任意のコードの実行又はDoS攻撃の可能性

    • 重要度 - High

    • 細工したXMLドキュメントを読み出させることでメモリコラプションによるDoS攻撃や、任意のコードを実行させることが出来る可能性が有ります。

  • CVE-2016-2073
    • リモートユーザによるDoS攻撃の可能性

    • 重要度 - High

    • libxml2中のHTMLparser.cで、htmlParseNameComplex関数に問題が有り、細工したXMLドキュメントを読み出させることでDoS攻撃を引き起こす可能性が有ります。

  • CVE-2016-3627
    • リモートユーザによるDoS攻撃の可能性

    • 重要度 - High

    • libxml2 2.9.3以前のバージョンのtree.cで、xmlStringGetNodeList関数に問題が有り、細工したXMLドキュメントを読み出させることでDoS攻撃を引き起こす可能性が有ります。

  • CVE-2016-3705
    • リモートユーザによるDoS攻撃の可能性

    • 重要度 - High

    • libxml2 2.9.3以前のバージョンのtree.cで、xmlParserEntityCheck関数とxmlParseAttValueComplex関数で再帰の深さを完全にトラックしない場合が有り、細工したXMLドキュメントを読み出させることでDoS攻撃を引き起こす可能性が有ります。

  • CVE-2016-4447
    • リモートユーザによるDoS攻撃の可能性

    • 重要度 - High

    • libxml2 2.9.3以前のバージョンのtree.cで、xmlParserEntityCheck関数とxmlParseAttValueComplex関数で再帰の深さを完全にトラックしない場合が有り、細工したXMLドキュメントを読み出させることでDoS攻撃を引き起こす可能性が有ります。

  • CVE-2016-4448
    • 攻撃者による予知できない攻撃の可能性

    • 重要度 - High

    • libxml2 2.9.4以前のバージョンで、フォーマット文字列の脆弱性が有り、攻撃者は未知のフォーマット文字列指定子を通じて予期できないインパクトを与える可能性が有ります。

    • CVE-2016-4449
    • リモートユーザによるDoS攻撃の可能性

    • 重要度 - High

    • libxml2 2.9.4以前のバージョンのparser.cで、xmlStringLenDecodeEntities関数での確認に問題が有り、細工したXMLドキュメントを読み出させることで攻撃者が任意のファイルを読んだり、DoS攻撃を引き起こす可能性が有ります。



主なディストリビューションの対応方法

CVE-2015-8806

CVE-2016-1762

CVE-2016-1833

CVE-2016-1834

CVE-2016-1835

CVE-2016-1836

CVE-2016-1837

CVE-2016-1838

CVE-2016-1839

CVE-2016-1840

CVE-2016-2073

CVE-2016-3627

CVE-2016-3705

CVE-2016-4447

CVE-2016-4448

CVE-2016-4449

[参考]

The XML C parser and toolkit of Gnome


[セミナー告知]

7/22にノベル株式会社様と共催で「クラウド・OSSセキュリティセミナー」と題して、OpenStack基盤自体のセキュリティに関して、デモを交えたセミナーを行います。

https://sios.secure.force.com/webform/SeminarDetail?id=70110000000sotpAAAがプログラム内容と申し込みの

詳細になりますので、是非お申し込み下さい。

OSSよろず相談室

サイオスOSSよろず相談室(2)

問い合わせボタン