BDU:2016-01666

Опубликовано: 16 дек. 2015

Источник: fstec

CVSS2: 7.1

EPSS Низкий

Описание

Уязвимость функции xmlStringLenDecodeEntities (parser.c) библиотеки libxml2 связана с ошибками управления ресурсом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании (расход вычислительных ресурсов) с помощью специально сформированных XML-данных

Вендор

Сообщество свободного программного обеспечения

Canonical Ltd.

Apple Inc.

Acorn Computers

IBM Corp.

Red Hat Inc.

Microsoft Corp

ФССП России

Наименование ПО

Unix

Ubuntu

Debian GNU/Linux

MacOS

RISC OS

OS/2

OS X

libxml2

Red Hat Enterprise Linux

iOS

Windows

ОС ТД АИС ФССП России

Версия ПО

. (Unix)

14.04 LTS (Ubuntu)

12.04 LTS (Ubuntu)

15.04 (Ubuntu)

7.0 (Debian GNU/Linux)

8.0 (Debian GNU/Linux)

7.0 (Debian GNU/Linux)

8.0 (Debian GNU/Linux)

12.04 LTS (Ubuntu)

14.04 LTS (Ubuntu)

15.04 (Ubuntu)

15.10 (Ubuntu)

. (MacOS)

. (RISC OS)

. (OS/2)

до 10.11.3 включительно (OS X)

до 2.9.2 включительно (libxml2)

Desktop 6.0 (Red Hat Enterprise Linux)

Server 6.0 (Red Hat Enterprise Linux)

Workstation 6.0 (Red Hat Enterprise Linux)

HPC Node 6.0 (Red Hat Enterprise Linux)

до 9.2.1 включительно (iOS)

- (Windows)

до ИК-4 включительно (ОС ТД АИС ФССП России)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Unix .

Apple Inc. MacOS .

Acorn Computers RISC OS .

IBM Corp. OS/2 .

Microsoft Corp Windows -

ФССП России ОС ТД АИС ФССП России до ИК-4 включительно

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Обновление библиотеки libxml2 до более новой версии

Для GosLinux:

Обновление программного обеспечения до версии ИК-6

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 83%

0.01993

Низкий

7.1 High

CVSS2

Связанные уязвимости

CVE-2015-5312

ubuntu

почти 10 лет назад

The xmlStringLenDecodeEntities function in parser.c in libxml2 before 2.9.3 does not properly prevent entity expansion, which allows context-dependent attackers to cause a denial of service (CPU consumption) via crafted XML data, a different vulnerability than CVE-2014-3660.