annonce de vulnérabilité CVE-2011-2821 CVE-2011-2834

libxml2 : double libération via XPath

Synthèse de la vulnérabilité

Un attaquant peut employer une expression XPath spéciale, afin de provoquer une double libération de mémoire dans libxml2, conduisant à un déni de service ou éventuellement à l'exécution de code.
Produits concernés : Debian, Fedora, NSM Central Manager, NSMXpress, libxml2, MES, Mandriva Linux, openSUSE, Solaris, RHEL, ESX, ESXi.
Gravité : 2/4.
Date création : 10/10/2011.
Références : CERTA-2011-AVI-528, CERTA-2012-AVI-673, CVE-2011-2821, CVE-2011-2834, DSA 2394-1, ESX400-201209001, ESX400-201209401-SG, ESX400-201209402-SG, ESX400-201209404-SG, ESXi400-201209001, ESXi400-201209401-SG, FEDORA-2012-13820, FEDORA-2012-13824, MDVSA-2011:145, openSUSE-SU-2012:0073-1, PSN-2012-11-767, RHSA-2011:1749-03, RHSA-2012:0016-01, RHSA-2012:0017-01, RHSA-2013:0217-01, VIGILANCE-VUL-11047, VMSA-2012-0003.1, VMSA-2012-0005.3, VMSA-2012-0008.1, VMSA-2012-0012.2, VMSA-2012-0013.1.

Description de la vulnérabilité

Le langage XPath permet de désigner une partie de données XML. Par exemple "/a/b" sélectionne l'élément "<a><b>".

Un attaquant peut employer une expression XPath spéciale, afin de provoquer une double libération de mémoire dans libxml2, conduisant à un déni de service ou éventuellement à l'exécution de code.

Les détails techniques ne sont pas connus.
Bulletin Vigil@nce complet.... (accès gratuit)

Partagez ce bulletin

          

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit des alertes de vulnérabilités informatiques. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information.