JVNDB-2013-002479

JVNDB-2013-002479
libxml2 におけるサービス運用妨害 (DoS) の脆弱性
概要
libxml2 には、サービス運用妨害 (CPU およびメモリ消費) となる脆弱性が存在します。本件は、線形複雑度を伴う内部エンティティ拡張 ("internal entity expansion" with linear complexity) による脆弱性です。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 4.3 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): なし可用性への影響(A): 部分的
影響を受けるシステム

Canonical Ubuntu 12.10 Ubuntu 12.04 LTS Ubuntu 11.10 Ubuntu 10.04 LTS Ubuntu 8.04 LTS Novell openSUSE 12.3 openSUSE 12.2 openSUSE 12.1 xmlsoft.org libxml2 2.9.0 およびそれ以前オラクル Oracle HTTP Server 11.1.1.7.0 Oracle HTTP Server 12.1.2.0 Oracle HTTP Server 12.1.3.0

想定される影響
攻撃者により、長い置換テキストおよび多くのエンティティへの参照を伴うエンティティ宣言 (entity declaration) を含む XML ファイルを介して、サービス運用妨害 (CPU およびメモリ消費) にされる可能性があります。
対策
ベンダ情報および参考情報を参照して適切な対策を実施してください。
ベンダ情報
Canonical Ubuntu Security Notice : USN-1782-1 GNOME Project GNOME : Detect excessive entities expansion upon replacement openSUSE project opensuse-updates : openSUSE-SU-2013:0555 opensuse-updates : openSUSE-SU-2013:0552 オラクル Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2015 Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices SECURITY BLOG : CVE-2013-0338 Denial of Service (DoS) vulnerability in libxml2 SECURITY BLOG : January 2015 Critical Patch Update Released レッドハット Red Hat Bugzilla : Bug 912400
CWEによる脆弱性タイプ一覧 CWEとは?
バッファエラー(CWE-119) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2013-0338
参考情報
National Vulnerability Database (NVD) : CVE-2013-0338
更新履歴
[2013年04月30日] 掲載 [2013年05月27日] ベンダ情報：オラクル (CVE-2013-0338 Denial of Service (DoS) vulnerability in libxml2) を追加 [2015年01月22日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - January 2015) を追加ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices) を追加ベンダ情報：オラクル (January 2015 Critical Patch Update Released) を追加


公表日	2013/02/19
登録日	2013/04/30
最終更新日	2015/01/22

libxml2 におけるサービス運用妨害 (DoS) の脆弱性