JVNDB-2010-002521

libxml2 の XPath 表現におけるサービス運用妨害 (DoS) の脆弱性

libxml2 は、不正な形式の XPath 表現を処理中に無効なメモリ位置から読み込むため、サービス運用妨害 (DoS) 状態となる脆弱性が存在します。

Google

• Google Chrome 7.0.517.44 未満

OpenOffice.org Project

• OpenOffice.org 2
• OpenOffice.org 3.3 より以前

VMware

• VMware ESX 3.5
• VMware ESX 4.0
• VMware ESX 4.1
• VMware ESXi 3.5
• VMware ESXi 4.0
• VMware ESXi 4.1
• VMware ESXi 5.0

xmlsoft.org

• libxml2 2.7.8 未満

アップル

• iTunes 10
• Safari 5
• Apple Mac OS X v10.5.8
• Apple Mac OS X v10.6 から v10.6.6
• Apple Mac OS X Server v10.5.8
• Apple Mac OS X Server v10.6 から v10.6.6
• iOS 2.0 から 4.1 (iPhone 3G 以降の場合)
• iOS 2.1 から 4.1 (iPod touch (2nd generation) 以降の場合)
• iOS 3.2 から 3.2.2 (iPad 用)
• iPad
• iPhone
• iPod touch

ヒューレット・パッカード

• HP System Management Homepage for Linux (AMD64/EM64T) 6.3 未満
• HP System Management Homepage for Linux (x86) 6.3 未満
• HP System Management Homepage for Windows 6.3 未満

攻撃者により、巧妙に細工された XML ドキュメントを介して、サービス運用妨害 (DoS) 状態にされる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Google

• Chromium : Issue 58731
• Google : Google Chrome
• Google : stable-channel-update

OpenOffice.org Project

• OpenOffice.org : CVE-2010-4008_CVE-2010-4494

VMware

• VMware Security Advisories : VMSA-2012-0008
• VMware Security Advisories : VMSA-2012-0012

xmlsoft.org

• xmlsoft.org : Top Page

アップル

• Apple Security Updates : HT4456
• Apple Security Updates : HT4554
• Apple Security Updates : HT4566
• Apple Security Updates : HT4581
• Apple セキュリティアップデート : HT4554
• Apple セキュリティアップデート : HT4566

オラクル

• SECURITY BLOG : CVE-2010-4008 Denial of Service (DoS) vulnerability in libxml2

ヒューレット・パッカード

• HP Security Bulletin : HPSBMA02662

レッドハット

• Red Hat Security Advisory : RHSA-2013:0217
• Red Hat Security Advisory : RHSA-2011:1749

1. バッファエラー(CWE-119) [NVD評価]

1. CVE-2010-4008

1. JVN : JVNVU#636925
2. National Vulnerability Database (NVD) : CVE-2010-4008
3. Secunia Advisory : SA42109
4. Secunia Advisory : SA42175
5. Secunia Advisory : SA42314
6. Secunia Advisory : SA40775
7. SecurityFocus : 44779
8. VUPEN Security : VUPEN/ADV-2010-3046
9. VUPEN Security : VUPEN/ADV-2011-0230

• [2010年12月20日]
    掲載
  [2011年02月08日]
    影響を受けるシステム：OpenOffice.org (CVE-2010-4008_CVE-2010-4494) の情報を追加
    ベンダ情報：OpenOffice.org (CVE-2010-4008_CVE-2010-4494) を追加
  [2011年03月24日]
    影響を受けるシステム：アップル (HT4554) の情報を追加
    影響を受けるシステム：アップル (HT4566) の情報を追加
    影響を受けるシステム：アップル (HT4581) の情報を追加
    ベンダ情報：アップル (HT4554) を追加
    ベンダ情報：アップル (HT4566) を追加
    ベンダ情報：アップル (HT4581) を追加
  [2012年06月26日]
    ベンダ情報：オラクル (CVE-2010-4008 Denial of Service (DoS) vulnerability in libxml2) を追加
  [2012年12月17日]
    影響を受けるシステム：VMware (VMSA-2012-0008) の情報を追加
    影響を受けるシステム：VMware (VMSA-2012-0012) の情報を追加
    ベンダ情報：VMware (VMSA-2012-0008) を追加
    ベンダ情報：VMware (VMSA-2012-0012) を追加
  [2016年06月30日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：レッドハット (RHSA-2013:0217) を追加
    ベンダ情報：レッドハット (RHSA-2011:1749) を追加
    ベンダ情報：Google (Issue 58731) を追加
    ベンダ情報：ヒューレット・パッカード (HPSBMA02662) を追加