L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de libxml2 : débordement de tampon via les appels d'entités

Synthèse de la vulnérabilité 

Un attaquant peut créer un fichier XML contenant des appels d'entités illicites, afin d'exécuter du code.
Systèmes impactés : Debian, VNX Operating Environment, VNX Series, Juniper J-Series, Junos OS, libxml, Mandriva Linux, openSUSE, Solaris, Pulse Connect Secure, Pulse Secure Client, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, ESX, ESXi, VMware vSphere, VMware vSphere Hypervisor.
Gravité de cette alerte : 2/4.
Date de création : 03/12/2012.
Références de cette alerte : CERTA-2013-AVI-208, CERTA-2013-AVI-337, CERTA-2013-AVI-387, CERTFR-2014-AVI-112, CERTFR-2015-AVI-023, CVE-2012-5134, DSA-2019-197, DSA-2580-1, ESX400-201305001, ESX400-201305402-SG, ESX400-201305404-SG, ESX410-201304001, ESX410-201304401-SG, ESXi400-201305001, ESXi400-201305401-SG, ESXi410-201304001, ESXi410-201304401-SG, ESXi500-201303001, ESXi500-201303101-SG, ESXi500-201303102-SG, ESXi510-201304101-SG, JSA10669, MDVSA-2012:176, MDVSA-2013:056, openSUSE-SU-2012:1637-1, openSUSE-SU-2012:1647-1, openSUSE-SU-2013:0178-1, RHSA-2012:1512-01, RHSA-2013:0217-01, SA44073-2019-03, SSA:2012-341-03, SUSE-SU-2012:1636-1, SUSE-SU-2013:1625-1, SUSE-SU-2013:1627-1, VIGILANCE-VUL-12197, VMSA-2012-0018.2, VMSA-2013-0001.3, VMSA-2013-0001.5, VMSA-2013-0004, VMSA-2013-0004.1, VMSA-2013-0004.2, VMSA-2013-0004.3, VMSA-2013-0007.

Description de la vulnérabilité 

Dans un document XML, les attributs peuvent contenir des références à des entités.

Le décodage des appels d'entités dans les attributs n'est pas géré correctement. En particulier, les modifications amont référencées dans la source d'information ne correspondent pas à la description de l'erreur la plus répandue.

Un attaquant peut donc créer un fichier XML contenant des appels d'entités illicites, afin d'exécuter du code.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Ce bulletin de vulnérabilité concerne les logiciels ou systèmes comme Debian, VNX Operating Environment, VNX Series, Juniper J-Series, Junos OS, libxml, Mandriva Linux, openSUSE, Solaris, Pulse Connect Secure, Pulse Secure Client, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, ESX, ESXi, VMware vSphere, VMware vSphere Hypervisor.

Notre équipe Vigil@nce a déterminé que la gravité de cette alerte cyber-sécurité est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Un attaquant avec un niveau de compétence expert peut exploiter cette annonce cybersécurité.

Solutions pour cette menace 

Debian : nouveaux paquetages libxml2.
De nouveaux paquetages sont disponibles :
  libxml2_2.7.8.dfsg-2+squeeze6

Dell EMC VNXe : version MR4 Service Pack 5.
La version MR4 Service Pack 5 est corrigée :
  https://www.dell.com/support/

Junos : versions corrigées pour libxml2.
Les versions corrigées sont indiquées dans les sources d'information.

Mandriva Business Server : nouveaux paquetages libxml2.
De nouveaux paquetages sont disponibles :
  libxml2-2.7.8-14.20120229.2.2

Mandriva : nouveaux paquetages libxml2.
De nouveaux paquetages sont disponibles :
  libxml2-2-2.7.8-6.8-mdv2011.0

openSUSE 12 : nouveaux paquetages Chromium.
De nouveaux paquetages sont disponibles :
  chromium-25.0.1343.0-1.43.1

openSUSE : nouveaux paquetages libxml2.
De nouveaux paquetages sont disponibles :
  openSUSE 11.4 : libxml2-2.7.8-37.1
  openSUSE 12.1 : libxml2-2.7.8+git20110708-3.15.1
  openSUSE 12.2 : libxml2-2-2.7.8+git20120223-8.9.1

Pulse Connect Secure, Pulse Secure Desktop : versions corrigées pour Multiple Vulnerabilities.
Les versions corrigées sont indiquées dans les sources d'information.

RHEL 6.3 : nouveaux paquetages mingw32-libxml2.
De nouveaux paquetages sont disponibles :
  mingw32-libxml2-2.7.6-6.el6_3

RHEL : nouveaux paquetages libxml2.
De nouveaux paquetages sont disponibles :
  RHEL 5 : libxml2-2.6.26-2.1.15
  RHEL 6 : libxml2-2.7.6-8

Slackware : nouveaux paquetages libxml2.
De nouveaux paquetages sont disponibles :
ftp://ftp.slackware.com/pub/slackware/slackware-12.1/patches/packages/libxml2-2.6.32-i486-3_slack12.1.tgz
ftp://ftp.slackware.com/pub/slackware/slackware-12.2/patches/packages/libxml2-2.6.32-i486-4_slack12.2.tgz
ftp://ftp.slackware.com/pub/slackware/slackware-13.0/patches/packages/libxml2-2.7.3-i486-5_slack13.0.txz
ftp://ftp.slackware.com/pub/slackware/slackware64-13.0/patches/packages/libxml2-2.7.3-x86_64-5_slack13.0.txz
ftp://ftp.slackware.com/pub/slackware/slackware-13.1/patches/packages/libxml2-2.7.6-i486-3_slack13.1.txz
ftp://ftp.slackware.com/pub/slackware/slackware64-13.1/patches/packages/libxml2-2.7.6-x86_64-3_slack13.1.txz
ftp://ftp.slackware.com/pub/slackware/slackware-13.37/patches/packages/libxml2-2.7.8-i486-5_slack13.37.txz
ftp://ftp.slackware.com/pub/slackware/slackware64-13.37/patches/packages/libxml2-2.7.8-x86_64-5_slack13.37.txz
ftp://ftp.slackware.com/pub/slackware/slackware-14.0/patches/packages/libxml2-2.8.0-i486-2_slack14.0.txz
ftp://ftp.slackware.com/pub/slackware/slackware64-14.0/patches/packages/libxml2-2.8.0-x86_64-2_slack14.0.txz

Solaris 11 : version 11.1.7.5.0.
La version 11.1.7.5.0 est corrigée :
  https://support.oracle.com/rs?type=doc&id=1554870.1

Solaris 9, 10 : patch pour libxml2.
Un patch est disponible :
  Solaris 9 :
    SPARC: 114014-30
    X86: 114015-30
  Solaris 10 :
    SPARC: 125731-10
    X86: 125732-10

SUSE LE 10 : nouveaux paquetages libxml2.
De nouveaux paquetages sont disponibles :
  libxml2-2.6.23-15.39.1

SUSE LE : nouveaux paquetages libxml2.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 : libxml2-2.7.6-0.21.1
  SUSE LE 10 : libxml2-2.6.23-15.35.1

VMware ESX 4.0 : patch ESX400-201305001.
Un patch est disponible :
  ESX400-201305001.zip
  https://kb.vmware.com/kb/2044240

VMware ESX 4.1 : patch ESX410-201304001.
Un patch est disponible :
  ESX410-201304001.zip
  http://kb.vmware.com/kb/2045253

VMware ESXi 4.0 : patch ESXi400-201305001.
Un patch est disponible :
  ESXi400-201305001.zip
  https://kb.vmware.com/kb/2044246

VMware ESXi 4.1 : patch ESXi410-201304001.
Un patch est disponible :
  ESXi410-201304001.zip
  http://kb.vmware.com/kb/2045255

VMware ESXi 5.0 : patch ESXi500-201303001.
Un patch est disponible :
  http://kb.vmware.com/kb/2044373

VMware ESXi 5.1 : patch ESXi510-201304101-SG.
Un patch est disponible :
  http://kb.vmware.com/kb/2041632
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une alerte de vulnérabilité de logiciel. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.