【活用ガイド】

JVNDB-2016-001858

libxml2 の xmlNextChar 関数におけるサービス運用妨害 (DoS) の脆弱性

概要

libxml2 の xmlNextChar 関数には、サービス運用妨害 (ヒープベースのバッファオーバーリード) 状態にされる脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)

基本値: 10.0 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的

影響を受けるシステム


Canonical
  • Ubuntu 12.04 LTS
  • Ubuntu 14.04 LTS
  • Ubuntu 15.10
  • Ubuntu 16.04 LTS
Debian
  • Debian GNU/Linux 8.0
アップル
  • Apple Mac OS X 10.9.5
  • Apple Mac OS X 10.10.5
  • Apple Mac OS X 10.11 から 10.11.3
  • iOS 9.3 未満 (iPhone 4s 以降)
  • iOS 9.3 未満 (iPod touch 第 5 世代以降)
  • iOS 9.3 未満 (iPad 2 以降)
  • tvOS 9.2 未満 (Apple TV 第 4 世代)
  • watchOS 2.2 未満 (Apple Watch Sport)
  • watchOS 2.2 未満 (Apple Watch)
  • watchOS 2.2 未満 (Apple Watch Edition)
  • watchOS 2.2 未満 (Apple Watch Hermes)

上記製品の libxml2 2.9.4 未満が本脆弱性の影響を受けます。
詳細はベンダ情報をご確認ください。
想定される影響

第三者により、巧妙に細工された XML ドキュメントを介して、サービス運用妨害 (ヒープベースのバッファオーバーリード) 状態にされる可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報

Canonical Debian GNOME Project xmlsoft.org アップル オラクル ターボリナックス レッドハット
CWEによる脆弱性タイプ一覧  CWEとは?

  1. バッファエラー(CWE-119) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2016-1762
参考情報

  1. JVN : JVNVU#97668313
  2. National Vulnerability Database (NVD) : CVE-2016-1762
更新履歴

[2016年03月25日]
  掲載
[2016年09月05日]
  タイトル:内容を更新
  概要:内容を更新
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  想定される影響:内容を更新
  ベンダ情報:レッドハット (RHSA-2016:1292) を追加
  ベンダ情報:Debian (DSA-3593) を追加
  ベンダ情報:Canonical (USN-2994-1) を追加
  ベンダ情報:xmlsoft.org (2.9.4: May 23 2016) を追加
  ベンダ情報:GNOME Project (Heap-based buffer overread in xmlNextChar) を追加
  ベンダ情報:GNOME Project (Bug 759671) を追加
[2016年10月27日]
  ベンダ情報:ターボリナックス (TLSA-2016-22) を追加
[2016年11月14日]
  ベンダ情報:オラクル (Oracle VM Server for x86 Bulletin - July 2016) を追加
  ベンダ情報:オラクル (Oracle Linux Bulletin - July 2016) を追加