L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de libxml2

annonce de vulnérabilité CVE-2017-15412

libxml2 : utilisation de mémoire libérée via xmlXPathCompOpEvalPositionalPredicate

Synthèse de la vulnérabilité

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée via xmlXPathCompOpEvalPositionalPredicate() de libxml2, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : Debian, Fedora, Chrome, libxml, openSUSE Leap, Opera, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Date création : 13/12/2017.
Références : CVE-2017-15412, DLA-1211-1, DSA-4064-1, DSA-4086-1, FEDORA-2017-c2645aa935, FEDORA-2017-ea44f172e3, FEDORA-2018-faff5f661e, openSUSE-SU-2017:3244-1, openSUSE-SU-2017:3245-1, openSUSE-SU-2018:0418-1, RHSA-2017:3401-01, USN-3513-1, USN-3513-2, VIGILANCE-VUL-24762.

Description de la vulnérabilité

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée via xmlXPathCompOpEvalPositionalPredicate() de libxml2, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2017-16932

libxml2 : boucle infinie via parser.c

Synthèse de la vulnérabilité

Un attaquant peut provoquer une boucle infinie via parser.c de libxml2, afin de mener un déni de service.
Produits concernés : Debian, libxml, Nessus, Ubuntu.
Gravité : 1/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Date création : 24/11/2017.
Références : CERTFR-2018-AVI-288, CVE-2017-16932, DLA-1194-1, TNS-2018-08, USN-3504-1, USN-3504-2, VIGILANCE-VUL-24528.

Description de la vulnérabilité

Un attaquant peut provoquer une boucle infinie via parser.c de libxml2, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2017-16931

libxml2 : déni de service via Parameter-entity References

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Parameter-entity References de libxml2, afin de mener un déni de service.
Produits concernés : Debian, libxml, Nessus.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Date création : 24/11/2017.
Références : CERTFR-2018-AVI-288, CVE-2017-16931, DLA-1194-1, TNS-2018-08, VIGILANCE-VUL-24527.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via Parameter-entity References de libxml2, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique 23727

libxml2 : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de libxml2.
Produits concernés : libxml, Slackware, VxWorks.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Date création : 05/09/2017.
Références : K-511315, SSA:2017-266-01, VIGILANCE-VUL-23727.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de libxml2.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2017-9050

libxml2 : buffer overflow via xmlDictAddString

Synthèse de la vulnérabilité

Un attaquant peut provoquer un buffer overflow via xmlDictAddString() de libxml2, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : Debian, Fedora, libxml, openSUSE Leap, Slackware, Nessus, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Date création : 15/05/2017.
Références : 781361, CERTFR-2018-AVI-288, CVE-2017-9050, DLA-1008-1, DSA-3952-1, FEDORA-2018-a6b59d8f78, FEDORA-2018-db610fff5b, openSUSE-SU-2017:1510-1, openSUSE-SU-2017:1612-1, SSA:2017-266-01, TNS-2018-08, USN-3424-1, USN-3424-2, VIGILANCE-VUL-22726.

Description de la vulnérabilité

Un attaquant peut provoquer un buffer overflow via xmlDictAddString() de libxml2, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2017-9049

libxml2 : buffer overflow via xmlDictComputeFastKey

Synthèse de la vulnérabilité

Un attaquant peut provoquer un buffer overflow via xmlDictComputeFastKey() de libxml2, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : Debian, Fedora, libxml, openSUSE Leap, Slackware, Nessus, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Date création : 15/05/2017.
Références : 781205, CERTFR-2018-AVI-288, CVE-2017-9049, DLA-1008-1, DSA-3952-1, FEDORA-2018-a6b59d8f78, FEDORA-2018-db610fff5b, openSUSE-SU-2017:1510-1, openSUSE-SU-2017:1612-1, SSA:2017-266-01, TNS-2018-08, USN-3424-1, USN-3424-2, VIGILANCE-VUL-22725.

Description de la vulnérabilité

Un attaquant peut provoquer un buffer overflow via xmlDictComputeFastKey() de libxml2, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2017-9048

libxml2 : buffer overflow via xmlSnprintfElementContent 2

Synthèse de la vulnérabilité

Un attaquant peut provoquer un buffer overflow via xmlSnprintfElementContent() de libxml2, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : Debian, Fedora, libxml, openSUSE Leap, Slackware, Nessus, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Date création : 15/05/2017.
Références : 781701, CERTFR-2018-AVI-288, CVE-2017-9048, DLA-1008-1, DSA-3952-1, FEDORA-2018-a6b59d8f78, FEDORA-2018-db610fff5b, openSUSE-SU-2017:1510-1, openSUSE-SU-2017:1612-1, SSA:2017-266-01, TNS-2018-08, USN-3424-1, USN-3424-2, VIGILANCE-VUL-22724.

Description de la vulnérabilité

Un attaquant peut provoquer un buffer overflow via xmlSnprintfElementContent() de libxml2, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2017-9047

libxml2 : buffer overflow via xmlSnprintfElementContent 1

Synthèse de la vulnérabilité

Un attaquant peut provoquer un buffer overflow via xmlSnprintfElementContent() de libxml2, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : Debian, Fedora, libxml, openSUSE Leap, Slackware, Nessus, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Date création : 15/05/2017.
Références : 781333, CERTFR-2018-AVI-288, CVE-2017-9047, DLA-1008-1, DSA-3952-1, FEDORA-2018-a6b59d8f78, FEDORA-2018-db610fff5b, openSUSE-SU-2017:1510-1, openSUSE-SU-2017:1612-1, SSA:2017-266-01, TNS-2018-08, USN-3424-1, USN-3424-2, VIGILANCE-VUL-22723.

Description de la vulnérabilité

Un attaquant peut provoquer un buffer overflow via xmlSnprintfElementContent() de libxml2, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2017-8872

libxml2 : lecture de mémoire hors plage prévue via htmlParseTryOrFinish

Synthèse de la vulnérabilité

Un attaquant peut forcer la lecture à une adresse invalide via htmlParseTryOrFinish() de libxml2, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Produits concernés : Fedora, libxml, openSUSE Leap, Slackware, Nessus.
Gravité : 2/4.
Conséquences : lecture de données, déni de service du service, déni de service du client.
Provenance : document.
Date création : 11/05/2017.
Références : 775200, CERTFR-2018-AVI-288, CVE-2017-8872, FEDORA-2018-a6b59d8f78, FEDORA-2018-db610fff5b, openSUSE-SU-2017:2190-1, SSA:2017-266-01, TNS-2018-08, VIGILANCE-VUL-22709.

Description de la vulnérabilité

Un attaquant peut forcer la lecture à une adresse invalide via htmlParseTryOrFinish() de libxml2, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2016-9318

libxml2 : injection d'entité XML externe via xmlNewEntityInputStream

Synthèse de la vulnérabilité

Un attaquant peut transmettre des données XML malveillantes à libxml2, afin de lire un fichier, de scanner des sites, ou de mener un déni de service.
Produits concernés : Fedora, libxml, openSUSE Leap, Slackware, SUSE Linux Enterprise Desktop, SLES, Nessus, Ubuntu.
Gravité : 2/4.
Conséquences : lecture de données, déni de service du service.
Provenance : document.
Date création : 16/11/2016.
Références : 772726, CERTFR-2018-AVI-288, CVE-2016-9318, FEDORA-2017-a3a47973eb, FEDORA-2017-be8574d593, openSUSE-SU-2017:0446-1, SSA:2017-266-01, SUSE-SU-2019:13985-1, TNS-2018-08, USN-3739-1, USN-3739-2, VIGILANCE-VUL-21134.

Description de la vulnérabilité

Les données XML peuvent contenir des entités externes (DTD) :
  <!ENTITY nom SYSTEM "fichier">
  <!ENTITY nom SYSTEM "http://serveur/fichier">
Un programme lisant ces données XML peut remplacer ces entités par les données provenant du fichier indiqué. Lorsque le programme utilise des données XML de provenance non sûre, ce comportement permet de :
 - lire le contenu de fichiers situés sur le serveur
 - scanner des sites web privés
 - mener un déni de service en ouvrant un fichier bloquant
Cette fonctionnalité doit donc être désactivée pour traiter des données XML de provenance non sûre.

Cependant, le parseur de libxml2 autorise les entités externes.

Un attaquant peut donc transmettre des données XML malveillantes à libxml2, afin de lire un fichier, de scanner des sites, ou de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur libxml2 :