libxml2越界内存访问漏洞

CVE编号

CVE-2015-8710

利用情况

暂无

补丁情况

官方补丁

披露时间

2016-04-12

漏洞描述

Libxml2是一个xml c语言版的解析器,本来是为Gnome项目开发的工具,是一个基于MIT License的免费开源软件。
libxml2存在越界内存访问漏洞，允许攻击者利用漏洞可在运行应用程序的用户环境中执行任意代码进行入侵。失败的入侵也有可能导致拒绝服务。

解决建议

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
http://xmlsoft.org/index.html

参考链接
http://rhn.redhat.com/errata/RHSA-2016-1089.html
http://www.debian.org/security/2015/dsa-3430
http://www.openwall.com/lists/oss-security/2015/04/19/4
http://www.openwall.com/lists/oss-security/2015/09/13/1
http://www.openwall.com/lists/oss-security/2015/12/31/7
http://www.securityfocus.com/bid/79811
https://bugzilla.gnome.org/show_bug.cgi?id=746048
https://git.gnome.org/browse/libxml2/commit/?id=e724879d964d774df9b7969fc8466...
https://hackerone.com/reports/57125#activity-384861

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	xmlsoft	libxml2	*		Up to (excluding) 2.9.3
	运行在以下环境
	系统	amazon_2	libxml2	*		Up to (excluding) 2.9.1-6.amzn2.3.2
	运行在以下环境
	系统	debian_6	libxml2	*		Up to (excluding) 2.7.8.dfsg-2+squeeze12
	运行在以下环境
	系统	debian_7	libxml2	*		Up to (excluding) 2.8.0+dfsg1-7+wheezy5
	运行在以下环境
	系统	debian_8	libxml2	*		Up to (excluding) 2.9.1+dfsg1-5+deb8u4
	运行在以下环境
	系统	opensuse_Leap_42.1	libxml2	*		Up to (excluding) 2-2.9.1-13.1
	运行在以下环境
	系统	suse_11_SP3	libxml2	*		Up to (excluding) 2.7.6-0.37.4
	运行在以下环境
	系统	suse_11_SP4	libxml2	*		Up to (excluding) 2.7.6-0.37.4
	运行在以下环境
	系统	suse_12	libxml2	*		Up to (excluding) 2.9.1-17.1
	运行在以下环境
	系统	suse_12_SP1	libxml2	*		Up to (excluding) 2.9.1-17.1
	运行在以下环境
	系统	ubuntu_14.04	libxml2	*		Up to (excluding) 2.9.1+dfsg1-3ubuntu4.7
查看完整数据

阿里云评分 3.1

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID 漏洞类型 CWE-119 内存缓冲区边界内操作的限制不恰当