2017-0941: LibXML2: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2017-05-31 15:26)

Neues Advisory

Version 2 (2017-06-09 11:28)

Für openSUSE Leap 42.2 steht zur Behebung der Schwachstellen ein Sicherheitsupdate für LibXML2 zur Verfügung.

Version 3 (2017-06-12 18:26)

Für die SUSE Linux Enterprise Produkte Software Development Kit, Server for Raspberry Pi, Server und Desktop in Version 12 SP2 sowie für OpenStack Cloud Magnum Orchestration 7 stehen erneut Sicherheitsupdates für LibXML2 zur Behebung der Schwachstellen bereit, welche in den Paketversionen höher stehen, als die mit SUSE-SU-2017:1454-1 veröffentlichten (libxml2-2-2.9.4-39.2 statt libxml2-2-2.9.4-36.1). Allerdings wird die Schwachstelle CVE-2016-1839 nicht referenziert, d.h. es werden ausschließlich Denial-of-Service (DoS)-Schwachstellen gelistet.

Version 4 (2017-06-14 14:34)

Für die SUSE Linux Enterprise Produkte Software Development Kit 11 SP4, Server 11 SP3 LTSS und 11 SP4 sowie Debuginfo 11 SP3 und 11 SP4 stehen Sicherheitsupdates für LibXML2 zur Behebung der Schwachstellen bereit. Allerdings wird die Schwachstelle CVE-2016-1839 nicht referenziert, d.h. es werden ausschließlich Denial-of-Service (DoS)-Schwachstellen gelistet. Weiterhin weist SUSE darauf hin, dass die mit vorherigen Sicherheitsupdates behobene Schwachstelle CVE-2016-9318 hiermit bestehen bleibt, da es zu Problemen mit bestehenden Setups kommen könnte. Stattdessen sollen Anwender beim Parsen nicht vertrauenswürdiger XML-Dateien geeignete Maßnahmen ergreifen und das neue Flag '-noxxe' wenn möglich verwenden.

Version 5 (2017-06-19 12:30)

Für die SUSE Linux Enterprise Produkte Server 12 LTSS und 12 SP1 LTSS sowie Server for SAP 12 und 12 SP1 stehen Sicherheitsupdates für 'libxml2' bereit, welche die Schwachstelle CVE-2016-1839 nicht adressieren.

Version 6 (2017-06-20 12:01)

Für openSUSE Leap 42.2 steht ein neues Sicherheitsupdate für 'libxml2' zur Verfügung, das aus dem 'SUSE:SLE-12-SP2:Update' Update-Projekt importiert wurde. Im Gegensatz zum ersten Sicherheitsupdate openSUSE-SU-2017:1510-1 wird CVE-2016-1839 nicht erwähnt.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in LibXML2 ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes sowie die Durchführung verschiedener Denial-of-Service-Angriffe.

Für die SUSE Linux Enterprise 12 SP2 Produkte Software Development Kit, Server for Raspberry Pi, Server und Desktop sowie für OpenStack Cloud Magnum Orchestration 7 stehen Sicherheitsupdates zur Behebung der Schwachstellen bereit.

Schwachstellen:

CVE-2016-1839

Schwachstelle in libxml2 ermöglicht Denial-of-Service-Angriff

CVE-2017-9047

Schwachstelle in LibXML2 ermöglicht Denial-of-Service-Angriff

CVE-2017-9048

Schwachstelle in LibXML2 ermöglicht Denial-of-Service-Angriff

CVE-2017-9049

Schwachstelle in LibXML2 ermöglicht Denial-of-Service-Angriff

CVE-2017-9050

Schwachstelle in LibXML2 ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.