Vulnerabilidad en libxml2 y libxml (CVE-2009-2416)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-416
Utilización después de liberación
Fecha de publicación:
11/08/2009
Última modificación:
02/02/2024
Descripción
Múltiples vulnerabilidades de uso anterior a la liberación en libxml2 v2.5.10, v2.6.16, v2.6.26, v2.6.27, y v2.6.32, y libxml v1.8.17, permite a atacantes dependientes de contexto producir una denegación de servicio (caída de aplicación) a través de una ,manipulación de (1) una notación o (2) tipos de atributo de enumeración en un fichero XML como se demostró en Codenomicon XML fuzzing framework.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:xmlsoft:libxml:1.8.17:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xmlsoft:libxml2:2.5.10:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xmlsoft:libxml2:2.6.16:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xmlsoft:libxml2:2.6.26:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xmlsoft:libxml2:2.6.27:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xmlsoft:libxml2:2.6.32:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:10:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:11:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:4.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux:3.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux:4.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux:5.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:6.06:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:8.04:*:*:*:-:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:8.10:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://googlechromereleases.blogspot.com/2009/08/stable-update-security-fixes.html
- http://lists.apple.com/archives/security-announce/2009/Nov/msg00000.html
- http://lists.apple.com/archives/security-announce/2009/Nov/msg00001.html
- http://lists.apple.com/archives/security-announce/2010/Jun/msg00003.html
- http://lists.opensuse.org/opensuse-security-announce/2009-09/msg00001.html
- http://secunia.com/advisories/35036
- http://secunia.com/advisories/36207
- http://secunia.com/advisories/36338
- http://secunia.com/advisories/36417
- http://secunia.com/advisories/36631
- http://secunia.com/advisories/37346
- http://secunia.com/advisories/37471
- http://support.apple.com/kb/HT3937
- http://support.apple.com/kb/HT3949
- http://support.apple.com/kb/HT4225
- http://www.cert.fi/en/reports/2009/vulnerability2009085.html
- http://www.codenomicon.com/labs/xml/
- http://www.debian.org/security/2009/dsa-1859
- http://www.mail-archive.com/debian-bugs-dist%40lists.debian.org/msg678527.html
- http://www.networkworld.com/columnists/2009/080509-xml-flaw.html
- http://www.openoffice.org/security/cves/CVE-2009-2414-2416.html
- http://www.securityfocus.com/archive/1/507985/100/0/threaded
- http://www.securityfocus.com/bid/36010
- http://www.ubuntu.com/usn/USN-815-1
- http://www.vmware.com/security/advisories/VMSA-2009-0016.html
- http://www.vupen.com/english/advisories/2009/2420
- http://www.vupen.com/english/advisories/2009/3184
- http://www.vupen.com/english/advisories/2009/3217
- http://www.vupen.com/english/advisories/2009/3316
- https://bugzilla.redhat.com/show_bug.cgi?id=515205
- https://git.gnome.org/browse/libxml2/commit/?id=489f9671e71cc44a97b23111b3126ac8a1e21a59
- https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A7783
- https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A9262
- https://www.redhat.com/archives/fedora-package-announce/2009-August/msg00537.html
- https://www.redhat.com/archives/fedora-package-announce/2009-August/msg00547.html
- https://www.redhat.com/archives/fedora-package-announce/2009-August/msg00642.html