【活用ガイド】

JVNDB-2016-003103

libxml2 の parser.c の xmlStringLenDecodeEntities 関数における XML 外部エンティティの脆弱性

概要

libxml2 の parser.c の xmlStringLenDecodeEntities 関数には、XML 外部エンティティの脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 7.1 (重要) [NVD値]
  • 攻撃元区分: ローカル
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): なし
  • 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 5.8 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): なし
  • 可用性への影響(A): 部分的
影響を受けるシステム


Canonical
  • Ubuntu 16.04 LTS
  • Ubuntu 15.10
  • Ubuntu 14.04 LTS
  • Ubuntu 12.04 LTS
Debian
  • Debian GNU/Linux 8.0
xmlsoft.org
  • libxml2 2.9.4 未満
アップル
  • iCloud 5.2.1 未満 (Windows 7 以降)
  • iTunes 12.4.2 未満 (Windows 7 以降)
  • Apple Mac OS X 10.10.5
  • Apple Mac OS X 10.11 およびそれ以降
  • Apple Mac OS X 10.9.5
  • iOS 9.3.3 未満 (iPad 2 以降)
  • iOS 9.3.3 未満 (iPhone 4s 以降)
  • iOS 9.3.3 未満 (iPod touch 第 5 世代以降)
  • tvOS 9.2.2 未満 (Apple TV 第 4 世代)
  • watchOS 2.2.2 未満 (Apple Watch Edition)
  • watchOS 2.2.2 未満 (Apple Watch Hermes)
  • watchOS 2.2.2 未満 (Apple Watch Sport)
  • watchOS 2.2.2 未満 (Apple Watch)
ヒューレット・パッカード・エンタープライズ
  • IceWall Federation Agent 3.0 (RHEL 6/7)

想定される影響

攻撃者により、任意のファイルを読まれる、またはサービス運用妨害 (リソース消費) 状態にされる可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報

Canonical Debian GNOME Project xmlsoft.org アップル オラクル ヒューレット・パッカード・エンタープライズ レッドハット
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 不適切な入力確認(CWE-20) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2016-4449
参考情報

  1. JVN : JVNVU#94844193
  2. National Vulnerability Database (NVD) : CVE-2016-4449
更新履歴

  • [2016年06月14日]
      掲載
    [2016年08月03日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:アップル (HT206899) を追加
      ベンダ情報:アップル (HT206901) を追加
      ベンダ情報:アップル (HT206905) を追加
      ベンダ情報:アップル (HT206904) を追加
      ベンダ情報:アップル (HT206902) を追加
      ベンダ情報:アップル (HT206903) を追加 
      ベンダ情報:アップル (APPLE-SA-2016-07-18-6 iTunes 12.4.2) を追加
      ベンダ情報:アップル (APPLE-SA-2016-07-18-4 tvOS 9.2.2) を追加
      ベンダ情報:アップル (APPLE-SA-2016-07-18-3 watchOS 2.2.2) を追加
      ベンダ情報:アップル (APPLE-SA-2016-07-18-2 iOS 9.3.3) を追加
      ベンダ情報:アップル (APPLE-SA-2016-07-18-1 OS X El Capitan v10.11.6 and Security Update 2016-004) を追加
      参考情報:JVN (JVNVU#94844193) を追加
    [2016年09月06日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBGN03628) を追加
      ベンダ情報:レッドハット (RHSA-2016:1292) を追加
    [2016年11月16日]
      ベンダ情報:オラクル (Oracle Solaris Third Party Bulletin - July 2016) を追加
      ベンダ情報:オラクル (Oracle VM Server for x86 Bulletin - July 2016) を追加