libxml2栈溢出和释放后使用漏洞

http://www.oklinux.cn 2009-08-16 绿盟科技会员收藏游客收藏【大中小】

发布日期：2009-08-10
更新日期：2009-08-11

受影响系统：
XMLSoft Libxml2 <= 2.6.26
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 36010
CVE(CAN) ID: CVE-2009-2414,CVE-2009-2416

libxml2软件包提供允许用户操控XML文件的函数库，包含有读、修改和写XML和HTML文件支持。

libxml库处理DTD中根XML文档元素定义的方式存在栈溢出漏洞，解析Notation和Enumeration属性类型的方式存在多个释放后使用漏洞。远程攻击者可以提供特制的XML文件，如果本地用户受骗打开了该文件，就会导致拒绝服务（应用程序崩溃）。

<*来源：Jan Lieskovsky （[email protected]）

链接：http://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=515195
http://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=515205
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=540865
http://www.redhat.com/support/errata/RHSA-2009-1206.html
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

RedHat
------
RedHat已经为此发布了一个安全公告（RHSA-2009:1206-01）以及相应补丁:
RHSA-2009:1206-01：Moderate: libxml and libxml2 security update
链接：http://www.redhat.com/support/errata/RHSA-2009-1206.html

上一篇：Fedora 11 安装OpenProj配置中文显示下一篇：FreeBSD上编译安装防火墙并设置限速

【收藏于收藏夹】【评论】【推荐】【打印】【关闭】

相关文档

·FreeBSD上编译安装防火墙并设置限速	·Linux Kernel posix-timers.c空指针引用拒绝服务漏洞
·保障Linux的临时文件安全	·Linux环境下用Iptraf监控网络流量效果非常好
·IBM AIX libC XL C 运行时库本地权限提升漏洞	·探索恶意软件：百万Linux内核模拟僵尸网络
·FreeBSD IATA驱动本地拒绝服务漏洞	·Fedora SSSD BE数据库空口令绕过认证漏洞
·Linux、Red Hat“赢”得Pwnie奖，绿坝提名	·Linux eCryptfs工具parse_tag_11_packet函数栈溢出漏
·Linux eCryptfs工具parse_tag_3_packet()函数堆溢出漏	·Sun Java系统访问管理器Policy Agent拒绝服务漏洞
·Linux ssh_key 基于KEY安全外壳协议	·Linux Kernel tun_chr_pool()函数空指针引用漏洞
·微软Linux内核留“后门” 虚拟化没彻底解决	·关于Linux 2.6 kernel udev 漏洞的检测及修补

发表评论

密码：匿名评论

评论内容：

(不超过250字，需审核后才会公布，请自觉遵守互联网相关政策法规)

网摘收藏: