2023-0836: LibXML2: Zwei Schwachstellen ermöglichen einen Denial-of-Service-Angriff

Historie:

Version 1 (2023-04-14 18:38): Neues Advisory
Version 2 (2023-04-20 11:29): Canonical stellt für Ubuntu 22.10, Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04 LTS, Ubuntu 16.04 ESM und Ubuntu 14.04 ESM Sicherheitsupdates für 'libxml2' bereit, um die beiden Schwachstellen zu beheben.
Version 3 (2023-04-21 09:09): Für Debian 11 Bullseye (stable) steht ein Sicherheitsupdate für 'libxml2' in Version 2.9.10+dfsg-6.7+deb11u4 bereit, um die beiden Schwachstellen zu beheben.
Version 4 (2023-04-27 17:05): Für Basesystem Module 15 SP4, openSUSE Leap 15.4, openSUSE Leap Micro 5.3, SUSE Linux Enterprise Desktop 15 SP4, SUSE Linux Enterprise High Performance Computing 12 SP5 und 15 SP4, SUSE Linux Enterprise Micro 5.3 und 5.4, SUSE Linux Enterprise Micro for Rancher 5.3 und 5.4, SUSE Linux Enterprise Real Time 15 SP4, SUSE Linux Enterprise Server 12 SP5 und 15 SP4, SUSE Linux Enterprise Server for SAP Applications 12 SP5 und 15 SP4, SUSE Linux Enterprise Software Development Kit 12 SP5, SUSE Manager Proxy 4.3, SUSE Manager Retail Branch Server 4.3 und SUSE Manager Server 4.3 stehen Sicherheitsupdates für 'libxml2' bereit, um die zwei Schwachstellen und einen weiteren nicht sicherheitsrelevanten Fehler zu beheben.
Version 5 (2023-05-02 08:57): Für Debian 10 Buster (LTS) steht ein Sicherheitsupdate für 'libxml2' in Version 2.9.4+dfsg1-7+deb10u6 bereit, um die Schwachstellen zu beheben.
Version 6 (2023-06-08 09:41): Korrespondierend zu der Ubuntu Security Notice USN-6028-1veröffentlicht Canonical mittels der Meldung USN-6028-2 ein 'libxml2'-Sicherheitsupdate für Ubuntu 23.04. Über dieses Sicherheitsupdate wird zusätzlich zu den beiden hier referenzierten Schwachstellen die Schwachstelle CVE-2022-2309 behoben. Auch diese Schwachstelle ermöglicht einem Angreifer aus der Ferne die Durchführung eines Denial-of-Service(DoS)-Angriffs.
Version 7 (2023-08-02 11:43): Red Hat stellt für Red Hat Enterprise Linux for x86_64 und for ARM 64 9 und EUS 9.2, Red Hat Enterprise Linux Server AUS 9.2 x86_64 sowie Red Hat Enterprise Linux Server for ARM 64 4 Years of Updates 9.2 Sicherheitsupdates für 'libxml2' zur Behebung der beiden referenzierten Schwachstellen zur Verfügung.
Version 8 (2023-08-03 10:01): Oracle veröffentlicht Sicherheitsupdates für 'libxml2' für Oracle Linux 9 (aarch64, x86_64) zur Behebung der beiden referenzierten Schwachstellen.
Version 9 (2023-08-09 12:12): Red Hat stellt für Red Hat Enterprise Linux for x86_64 und for ARM 64 8 und EUS 8.8 sowie Red Hat Enterprise Linux Server TUS 8.8 x86_64 Sicherheitsupdates für 'libxml2' zur Verfügung, um die beiden aufgeführten Schwachstellen zu beheben.
Version 10 (2023-08-10 09:40): Für Oracle Linux 8 (aarch64, x86_64) stehen korrespondierende Sicherheitsupdates für 'libxml2' bereit, um die beiden Schwachstellen zu beheben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux
Oracle
Container

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Für Fedora 37 steht mit dem Paket 'libxml2-2.10.4-1.fc37' ein Sicherheitsupdate im Status 'testing' bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2023-28484

Schwachstelle in LibXML2 ermöglicht Denial-of-Service-Angriff

CVE-2023-29469