JVNDB-2012-002979

Expat の expat/lib/xmlparse.c におけるサービス運用妨害 (メモリ消費) の脆弱性

Expat の expat/lib/xmlparse.c 内の poolGrow 関数には、メモリリークの発生によって、サービス運用妨害 (メモリ消費) 状態となる脆弱性が存在します。

Expat

• Expat 2.1.0 未満

VMware

• VMware ESX 3.5
• VMware ESX 4.0
• VMware ESX 4.1

アップル

• Apple Mac OS X 10.11
• Apple Mac OS X 10.11.1

攻撃者により、巧妙に細工された XML ファイルを大量に用いて、エンティティを展開する際に、不適切な処理によってメモリの再割り当ての失敗を誘発されることで、サービス運用妨害 (メモリ消費) 状態にされる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Canonical

• Ubuntu Security Notice : USN-1613-2
• Ubuntu Security Notice : USN-1527-1

Debian

• Debian Security Advisory : DSA-2525

Expat

• Expat : Top Page
• SourceForge : memory leak in poolGrow - ID: 2958794
• SourceForge : expat 2.1.0
• SourceForge : Diff of /expat/lib/xmlparse.c

Mandriva, Inc.

• Security Advisories : MDVSA-2012:041

VMware

• VMware Security Advisories : VMSA-2012-0016

アップル

• Apple Mailing Lists : APPLE-SA-2015-12-08-3 OS X El Capitan 10.11.2 and Security Update 2015-008
• Apple Security Updates : HT205637
• Apple セキュリティアップデート : HT205637

オラクル

• SECURITY BLOG : Multiple Resource Management Error vulnerabilities in libexpat

レッドハット

• Red Hat Security Advisory : RHSA-2012:0731

1. リソース管理の問題(CWE-399) [NVD評価]

1. CVE-2012-1148

1. JVN : JVNVU#97526033
2. National Vulnerability Database (NVD) : CVE-2012-1148

• [2012年07月05日]
    掲載
  [2012年08月09日]
    ベンダ情報：オラクル (Multiple Resource Management Error vulnerabilities in libexpat) を追加
  [2012年11月05日]
    ベンダ情報：Ubuntu (USN-1613-2) を追加
  [2012年11月13日]
    ベンダ情報：Debian (DSA-2525) を追加
    ベンダ情報：Ubuntu (USN-1527-1) を追加
  [2012年12月26日]
    影響を受けるシステム：VMware (VMSA-2012-0016) の情報を追加
    ベンダ情報：VMware (VMSA-2012-0016) を追加
  [2015年12月15日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：アップル (APPLE-SA-2015-12-08-3 OS X El Capitan 10.11.2 and Security Update 2015-008) を追加
    ベンダ情報：アップル (HT205637) を追加
    参考情報：JVN (JVNVU#97526033) を追加