2014-0605: libxml2: Eine Schwachstelle ermöglicht XXE-Angriffe

Historie:

Version 1 (2014-05-16 15:12)

Neues Advisory

Version 2 (2014-05-27 17:07)

Für openSUSE 12.3 und 13.1 sind weitere Sicherheitsupdates veröffentlicht worden.

Version 3 (2014-06-04 17:29)

Für openSUSE 12.3 und 13.1 wird dieses Update zur Verfügung gestellt, welches den Sicherheitspatch für die Schwachstelle *zurückzieht*, da die Beseitigung der Schwachstelle dazu geführt hat, dass existierende Anwendung nicht mehr funktionieren und es dafür kein Workaround gibt. Ein Einspielen dieses Updates bedingt also eine erneute Verwundbarkeit gegenüber der Schwachstelle und sollte nur dann erfolgen, wenn tatsächlich Anwendungen eingesetzt werden, die mit dem verfügbaren Sicherheitspatch nicht mehr funktionieren.

Version 4 (2014-07-14 14:17)

Für die Distribution Debian Wheezy steht ein Sicherheitspatch zur Verfügung.

Version 5 (2014-12-28 20:14)

Für die Distributionen Fedora 20, Fedora 21 und für Fedora EPEL 7 stehen Sicherheitsupdates bereit.

Version 6 (2015-03-30 14:39)

Für Red Hat Enterprise Linux 7 Desktop, HPC Node, Server und Workstation stehen Sicherheitsupdates bereit.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Eine Schwachstelle in libxml2 ermöglicht einem entfernten, nicht authentifizierten Angreifer "XML eXternal Entities (XXE)"-Angriffe durchzuführen.

Schwachstellen:

CVE-2014-0191

XXE-Schwachstelle in libxml2

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.