JVNDB-2015-005980

JVNDB-2015-005980
libxml2 の xzlib.c 内の xz_decomp 関数におけるサービス運用妨害 (DoS) の脆弱性
概要
libxml2 の xzlib.c 内の xz_decomp 関数は、圧縮エラーを適切に検出しないため、サービス運用妨害 (プロセスハング) 状態にされる脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 2.6 (注意) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): なし可用性への影響(A): 部分的
影響を受けるシステム

Canonical Ubuntu 15.10 Ubuntu 15.04 Ubuntu 14.04 LTS Ubuntu 12.04 LTS xmlsoft.org libxml2 2.9.1 アップル Apple Mac OS X 10.10.5 Apple Mac OS X 10.11 から 10.11.3 Apple Mac OS X 10.9.5 iOS 9.3 未満 (iPad 2 以降) iOS 9.3 未満 (iPhone 4s 以降) iOS 9.3 未満 (iPod touch 第 5 世代以降) tvOS 9.2 未満 (Apple TV 第 4 世代) watchOS 2.2 未満 (Apple Watch Edition) watchOS 2.2 未満 (Apple Watch Hermes) watchOS 2.2 未満 (Apple Watch Sport) watchOS 2.2 未満 (Apple Watch) ヒューレット・パッカード・エンタープライズ HPE Insight Control HPE Insight Control サーバープロビジョニング HPE Server Migration Pack HPE Systems Insight Manager HPE Version Control Repository Manager System Management Homepage 日立 Job Management Partner 1/IT Desktop Management - Manager Job Management Partner 1/IT Desktop Management 2 - Manager JP1/IT Desktop Management - Manager JP1/IT Desktop Management 2 - Manager JP1/IT Desktop Management 2 - Operations Director
本脆弱性の影響を受ける製品の詳細については、ベンダ情報をご確認ください。
想定される影響
攻撃者により、巧妙に細工された XML データを介して、サービス運用妨害 (プロセスハング) 状態にされる可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
Canonical Ubuntu Security Notice : USN-2812-1 GNOME Project GNOME Bugzilla : Bug 757466 GNOME GIT REPOSITORY : CVE-2015-8035 Fix XZ compression support loop xmlsoft.org xmlsoft.org : Top Page xmlsoft.org news : v2.9.3: Nov 20 2015 アップル Apple Mailing Lists : APPLE-SA-2016-03-21-1 iOS 9.3 Apple Mailing Lists : APPLE-SA-2016-03-21-2 watchOS 2.2 Apple Mailing Lists : APPLE-SA-2016-03-21-3 tvOS 9.2 Apple Mailing Lists : APPLE-SA-2016-03-21-5 OS X El Capitan 10.11.4 and Security Update 2016-002 Apple Security Updates : HT206166 Apple Security Updates : HT206167 Apple Security Updates : HT206168 Apple Security Updates : HT206169 Apple セキュリティアップデート : HT206166 Apple セキュリティアップデート : HT206167 Apple セキュリティアップデート : HT206168 Apple セキュリティアップデート : HT206169 ヒューレット・パッカード・エンタープライズ HPE Security Bulletin : HPSBMU03612 日立 Hitachi Software Vulnerability Information : hitachi-sec-2025-122 ソフトウェア製品セキュリティ情報 : hitachi-sec-2025-122
CWEによる脆弱性タイプ一覧 CWEとは?
リソース管理の問題(CWE-399) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2015-8035
参考情報
JVN : JVNVU#97668313 National Vulnerability Database (NVD) : CVE-2015-8035
更新履歴
[2015年11月20日] 掲載 [2015年12月22日] ベンダ情報：xmlsoft.org (v2.9.3: Nov 20 2015) を追加 [2016年03月29日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：アップル (HT206166) を追加ベンダ情報：アップル (HT206167) を追加ベンダ情報：アップル (HT206168) を追加ベンダ情報：アップル (HT206169) を追加ベンダ情報：アップル (APPLE-SA-2016-03-21-1 iOS 9.3) を追加ベンダ情報：アップル (APPLE-SA-2016-03-21-5 OS X El Capitan 10.11.4 and Security Update 2016-002) を追加ベンダ情報：アップル (APPLE-SA-2016-03-21-2 watchOS 2.2) を追加ベンダ情報：アップル (APPLE-SA-2016-03-21-3 tvOS 9.2) を追加参考情報：JVN (JVNVU#97668313) を追加 [2016年09月08日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：ヒューレット・パッカード・エンタープライズ (HPSBMU03612) を追加 [2025年05月15日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日立 (hitachi-sec-2025-122) を追加


公表日	2015/11/03
登録日	2015/11/20
最終更新日	2016/09/08

libxml2 の xzlib.c 内の xz_decomp 関数におけるサービス運用妨害 (DoS) の脆弱性