DFN-CERT Portal

Schwachstellen

DFN-CERT-2017-2265: LibXML: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

Historie

Version 1 (2017-12-13 17:03)
Neues Advisory
Version 2 (2017-12-14 09:49)
Für Ubuntu 12.04 LTS (ESM) steht ebenfalls ein Sicherheitsupdate zur Behebung der Schwachstelle bereit.
Version 3 (2018-01-15 10:08)
Debian stellt für die stabile Distribution Stretch (9.3) und die alte stabile Distribution Jessie (8.10) Sicherheitsupdates für 'libxml2' zur Verfügung, um die Schwachstelle zu beheben.
Version 4 (2018-02-08 16:33)
Red Hat veröffentlicht ein Sicherheitsupdate in Form des Red Hat JBoss Core Services Apache HTTP Server 2.4.23 Service Pack 4, um die Schwachstelle zu beheben.

Betroffene Software

LibXML2

Betroffene Plattformen

Red Hat JBoss Core Services < Apache HTTP Server 2.4.23 Service Pack 4
Canonical Ubuntu Linux 12.04 ESM
Canonical Ubuntu Linux 14.04 LTS
Canonical Ubuntu Linux 16.04 LTS
Canonical Ubuntu Linux 17.04
Canonical Ubuntu Linux 17.10
Debian Linux 8.10 Jessie
Debian Linux 9.3 Stretch

Lösung

Patch

Ubuntu Security Notice USN-3513-1

Patch

Ubuntu Security Notice USN-3513-2

Patch

Debian Security Advisory DSA-4086-1

Patch

Red Hat Security Advisory RHSA-2018:0287

Beschreibung

Ein entfernter, nicht authentifizierter Angreifer kann eine Schwachstelle in LibXML ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen oder beliebigen Programmcode zur Ausführung zu bringen.

Canonical stellt für die Distributionen Ubuntu 17.10, Ubuntu 17.04, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS verschiedene Sicherheitsupdates bereit, um diese Schwachstelle zu beheben.

Schwachstellen

CVE-2017-15412: Schwachstelle in LibXML ermöglicht Ausführen beliebigen Programmcodes

In der Komponente LibXML, wie unter anderem in Google Chrome und Chromium vor Version 63.0.3239.84 verwendet, existiert eine nicht näher beschriebene Schwachstelle, durch die Speicherbereiche nach deren Freigabe weiterhin verwendet werden können (Use-after-Free). Ein entfernter, nicht authentifizierter Angreifer kann durch das Ausnutzen der Schwachstelle beliebigen Programmcode zur Ausführung bringen.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.