L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de libxml2

alerte de vulnérabilité informatique CVE-2017-9050

libxml2 : buffer overflow via xmlDictAddString

Synthèse de la vulnérabilité

Produits concernés : Debian, Fedora, libxml, openSUSE Leap, Slackware, Nessus, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/05/2017.
Références : 781361, CERTFR-2018-AVI-288, CVE-2017-9050, DLA-1008-1, DSA-3952-1, FEDORA-2018-a6b59d8f78, FEDORA-2018-db610fff5b, openSUSE-SU-2017:1510-1, openSUSE-SU-2017:1612-1, SSA:2017-266-01, TNS-2018-08, USN-3424-1, USN-3424-2, VIGILANCE-VUL-22726.

Description de la vulnérabilité

Un attaquant peut provoquer un buffer overflow via xmlDictAddString() de libxml2, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2017-9049

libxml2 : buffer overflow via xmlDictComputeFastKey

Synthèse de la vulnérabilité

Produits concernés : Debian, Fedora, libxml, openSUSE Leap, Slackware, Nessus, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/05/2017.
Références : 781205, CERTFR-2018-AVI-288, CVE-2017-9049, DLA-1008-1, DSA-3952-1, FEDORA-2018-a6b59d8f78, FEDORA-2018-db610fff5b, openSUSE-SU-2017:1510-1, openSUSE-SU-2017:1612-1, SSA:2017-266-01, TNS-2018-08, USN-3424-1, USN-3424-2, VIGILANCE-VUL-22725.

Description de la vulnérabilité

Un attaquant peut provoquer un buffer overflow via xmlDictComputeFastKey() de libxml2, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2017-9048

libxml2 : buffer overflow via xmlSnprintfElementContent 2

Synthèse de la vulnérabilité

Produits concernés : Debian, Fedora, libxml, openSUSE Leap, Slackware, Nessus, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/05/2017.
Références : 781701, CERTFR-2018-AVI-288, CVE-2017-9048, DLA-1008-1, DSA-3952-1, FEDORA-2018-a6b59d8f78, FEDORA-2018-db610fff5b, openSUSE-SU-2017:1510-1, openSUSE-SU-2017:1612-1, SSA:2017-266-01, TNS-2018-08, USN-3424-1, USN-3424-2, VIGILANCE-VUL-22724.

Description de la vulnérabilité

Un attaquant peut provoquer un buffer overflow via xmlSnprintfElementContent() de libxml2, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2017-9047

libxml2 : buffer overflow via xmlSnprintfElementContent 1

Synthèse de la vulnérabilité

Produits concernés : Debian, Fedora, libxml, openSUSE Leap, Slackware, Nessus, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/05/2017.
Références : 781333, CERTFR-2018-AVI-288, CVE-2017-9047, DLA-1008-1, DSA-3952-1, FEDORA-2018-a6b59d8f78, FEDORA-2018-db610fff5b, openSUSE-SU-2017:1510-1, openSUSE-SU-2017:1612-1, SSA:2017-266-01, TNS-2018-08, USN-3424-1, USN-3424-2, VIGILANCE-VUL-22723.

Description de la vulnérabilité

Un attaquant peut provoquer un buffer overflow via xmlSnprintfElementContent() de libxml2, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2017-8872

libxml2 : lecture de mémoire hors plage prévue via htmlParseTryOrFinish

Synthèse de la vulnérabilité

Produits concernés : Fedora, libxml, openSUSE Leap, Slackware, Nessus.
Gravité : 2/4.
Conséquences : lecture de données, déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 11/05/2017.
Références : 775200, CERTFR-2018-AVI-288, CVE-2017-8872, FEDORA-2018-a6b59d8f78, FEDORA-2018-db610fff5b, openSUSE-SU-2017:2190-1, SSA:2017-266-01, TNS-2018-08, VIGILANCE-VUL-22709.

Description de la vulnérabilité

Un attaquant peut forcer la lecture à une adresse invalide via htmlParseTryOrFinish() de libxml2, afin de mener un déni de service, ou d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2016-9318

libxml2 : injection d'entité XML externe via xmlNewEntityInputStream

Synthèse de la vulnérabilité

Un attaquant peut transmettre des données XML malveillantes à libxml2, afin de lire un fichier, de scanner des sites, ou de mener un déni de service.
Produits concernés : Fedora, libxml, openSUSE Leap, Slackware, Nessus, Ubuntu.
Gravité : 2/4.
Conséquences : lecture de données, déni de service du service.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/11/2016.
Références : 772726, CERTFR-2018-AVI-288, CVE-2016-9318, FEDORA-2017-a3a47973eb, FEDORA-2017-be8574d593, openSUSE-SU-2017:0446-1, SSA:2017-266-01, TNS-2018-08, USN-3739-1, USN-3739-2, VIGILANCE-VUL-21134.

Description de la vulnérabilité

Les données XML peuvent contenir des entités externes (DTD) :
  <!ENTITY nom SYSTEM "fichier">
  <!ENTITY nom SYSTEM "http://serveur/fichier">
Un programme lisant ces données XML peut remplacer ces entités par les données provenant du fichier indiqué. Lorsque le programme utilise des données XML de provenance non sûre, ce comportement permet de :
 - lire le contenu de fichiers situés sur le serveur
 - scanner des sites web privés
 - mener un déni de service en ouvrant un fichier bloquant
Cette fonctionnalité doit donc être désactivée pour traiter des données XML de provenance non sûre.

Cependant, le parseur de libxml2 autorise les entités externes.

Un attaquant peut donc transmettre des données XML malveillantes à libxml2, afin de lire un fichier, de scanner des sites, ou de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2017-5969

libxml2 : déréférencement de pointeur NULL via Recover Mode

Synthèse de la vulnérabilité

Produits concernés : libxml, openSUSE Leap, Slackware, Nessus, WindRiver Linux.
Gravité : 1/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 07/11/2016.
Références : 778519, CERTFR-2018-AVI-288, CVE-2017-5969, openSUSE-SU-2017:1746-1, SSA:2017-266-01, TNS-2018-08, VIGILANCE-VUL-21049.

Description de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL via Recover Mode de libxml2, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2016-5131

libxml2 : utilisation de mémoire libérée via xmlXPtrRangeToFunction

Synthèse de la vulnérabilité

Produits concernés : iOS par Apple, iPhone, Mac OS X, Debian, Fedora, Android OS, Chrome, libxml, openSUSE Leap, Opera, Slackware, Nessus, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 02/11/2016.
Références : CERTFR-2018-AVI-288, CVE-2016-5131, DLA-691-1, DSA-3744-1, FEDORA-2017-a3a47973eb, FEDORA-2017-be8574d593, FEDORA-2018-a6b59d8f78, FEDORA-2018-db610fff5b, HT207143, HT207170, openSUSE-SU-2018:0418-1, SSA:2017-266-01, TNS-2018-08, USN-3235-1, VIGILANCE-VUL-20993.

Description de la vulnérabilité

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée via xmlXPtrRangeToFunction de libxml2, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2016-4658

libxml2 : utilisation de mémoire libérée via Namespace

Synthèse de la vulnérabilité

Produits concernés : iOS par Apple, iPhone, Mac OS X, Debian, Fedora, Android OS, Chrome, libxml, openSUSE, openSUSE Leap, Opera, Slackware, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 02/11/2016.
Références : CVE-2016-4658, DLA-691-1, DSA-3744-1, FEDORA-2017-a3a47973eb, FEDORA-2017-be8574d593, FEDORA-2018-a6b59d8f78, FEDORA-2018-db610fff5b, HT207143, HT207170, openSUSE-SU-2016:2711-1, openSUSE-SU-2016:2730-1, openSUSE-SU-2017:0446-1, SSA:2017-266-01, USN-3235-1, VIGILANCE-VUL-20992.

Description de la vulnérabilité

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée via Namespace de libxml2, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2016-4447 CVE-2016-4448 CVE-2016-4449

libxml2 : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de libxml2.
Produits concernés : iOS par Apple, iPhone, Mac OS X, Blue Coat CAS, ProxyAV, ProxyRA, ProxySG par Blue Coat, SGOS par Blue Coat, Debian, BIG-IP Hardware, TMOS, Fedora, Junos OS, Junos Space, libxml, McAfee Web Gateway, openSUSE Leap, Oracle Communications, RHEL, Slackware, Splunk Enterprise, SLES, Nessus, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, lecture de données, déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 25/05/2016.
Références : 1989337, 1991909, 1991910, 1991911, 1991913, 1991997, CERTFR-2017-AVI-012, cpujan2018, CVE-2016-4447, CVE-2016-4448, CVE-2016-4449, DLA-503-1, DSA-3593-1, FEDORA-2017-a3a47973eb, FEDORA-2017-be8574d593, HT206902, HT206903, JSA10770, JSA10916, K24322529, K41103561, openSUSE-SU-2016:1595-1, RHSA-2016:1292-01, SA129, SB10170, SOL41103561, SPL-119440, SPL-121159, SPL-123095, SSA:2016-148-01, SUSE-SU-2016:1538-1, SUSE-SU-2016:1604-1, TNS-2017-03, USN-2994-1, USN-3235-1, VIGILANCE-VUL-19694.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans libxml2.

Un attaquant peut forcer la lecture à une adresse invalide via xmlParseName, afin de mener un déni de service, ou d'obtenir des informations sensibles. [grav:1/4; CVE-2016-4447]

Un attaquant peut provoquer une attaque par format, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; CVE-2016-4448]

Un attaquant peut provoquer une corruption de mémoire via Entities Content, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; CVE-2016-4449]
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur libxml2 :