您查看的文章来源于http://www.oklinux.cn
发布日期:2009-08-10
更新日期:2009-08-11
受影响系统:
XMLSoft Libxml2 <= 2.6.26
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 36010
CVE(CAN) ID: CVE-2009-2414,CVE-2009-2416
libxml2软件包提供允许用户操控XML文件的函数库,包含有读、修改和写XML和HTML文件支持。
libxml库处理DTD中根XML文档元素定义的方式存在栈溢出漏洞,解析Notation和Enumeration属性类型的方式存在多个释放后使用漏洞。远程攻击者可以提供特制的XML文件,如果本地用户受骗打开了该文件,就会导致拒绝服务(应用程序崩溃)。
<*来源:Jan Lieskovsky ([email protected])
链接:http://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=515195
http://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=515205
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=540865
http://www.redhat.com/support/errata/RHSA-2009-1206.html
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
RedHat
------
RedHat已经为此发布了一个安全公告(RHSA-2009:1206-01)以及相应补丁:
RHSA-2009:1206-01:Moderate: libxml and libxml2 security update
链接:http://www.redhat.com/support/errata/RHSA-2009-1206.html