libxml2に複数の脆弱性
こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。
6/6(JST)に、Debian/Ubuntuのlibxml2に複数の脆弱性が報告されています。6/24(JST)にRed Hat Enterprise Linux/CentOSでも修正パッケージの提供が報告されており、影響度合いも”Important”のため、ここでは、これらの脆弱性について簡単にまとめてみます。
関連するCVE
CVE-2015-8806
CVE-2016-1762
CVE-2016-1833
CVE-2016-1834
CVE-2016-1835
CVE-2016-1836
CVE-2016-1837
CVE-2016-1838
CVE-2016-1839
CVE-2016-1840
CVE-2016-2073
CVE-2016-3627
CVE-2016-3705
CVE-2016-4447
CVE-2016-4448
CVE-2016-4449
Priority
Important
CVE概要(詳細はCVEのサイトをご確認ください)
- CVE-2015-8806
リモートからのDoS攻撃の可能性
重要度 – High
libxml2のdict.cに問題が有り、悪意のあるリモートユーザが細工したHTMLドキュメントを読み出させることにより、ヒープバッファーオーバーリードを引き起こしてDoSを引き起こすことが出来る可能性があります。
- CVE-2016-1762
リモートユーザによる任意のコードの実行又はDoS攻撃の可能性
重要度 – High
細工したXMLドキュメントを読み出させることでメモリコラプションによるDoS攻撃や、任意のコードを実行させることが出来る可能性が有ります。
- CVE-2016-1833, CVE-2016-1834, CVE-2016-1836, CVE-2016-1837, CVE-2016-1838, CVE-2016-1839, CVE-2016-1840
リモートユーザによる任意のコードの実行又はDoS攻撃の可能性
重要度 – High
細工したXMLドキュメントを読み出させることでメモリコラプションによるDoS攻撃や、任意のコードを実行させることが出来る可能性が有ります。CVEはそれぞれ異なる脆弱性です。
- CVE-2016-1835
リモートユーザによる任意のコードの実行又はDoS攻撃の可能性
重要度 – High
細工したXMLドキュメントを読み出させることでメモリコラプションによるDoS攻撃や、任意のコードを実行させることが出来る可能性が有ります。
- CVE-2016-2073
リモートユーザによるDoS攻撃の可能性
重要度 – High
libxml2中のHTMLparser.cで、htmlParseNameComplex関数に問題が有り、細工したXMLドキュメントを読み出させることでDoS攻撃を引き起こす可能性が有ります。
- CVE-2016-3627
リモートユーザによるDoS攻撃の可能性
重要度 – High
libxml2 2.9.3以前のバージョンのtree.cで、xmlStringGetNodeList関数に問題が有り、細工したXMLドキュメントを読み出させることでDoS攻撃を引き起こす可能性が有ります。
- CVE-2016-3705
リモートユーザによるDoS攻撃の可能性
重要度 – High
libxml2 2.9.3以前のバージョンのtree.cで、xmlParserEntityCheck関数とxmlParseAttValueComplex関数で再帰の深さを完全にトラックしない場合が有り、細工したXMLドキュメントを読み出させることでDoS攻撃を引き起こす可能性が有ります。
- CVE-2016-4447
リモートユーザによるDoS攻撃の可能性
重要度 – High
libxml2 2.9.3以前のバージョンのtree.cで、xmlParserEntityCheck関数とxmlParseAttValueComplex関数で再帰の深さを完全にトラックしない場合が有り、細工したXMLドキュメントを読み出させることでDoS攻撃を引き起こす可能性が有ります。
- CVE-2016-4448
攻撃者による予知できない攻撃の可能性
重要度 – High
libxml2 2.9.4以前のバージョンで、フォーマット文字列の脆弱性が有り、攻撃者は未知のフォーマット文字列指定子を通じて予期できないインパクトを与える可能性が有ります。
- CVE-2016-4449
リモートユーザによるDoS攻撃の可能性
重要度 – High
libxml2 2.9.4以前のバージョンのparser.cで、xmlStringLenDecodeEntities関数での確認に問題が有り、細工したXMLドキュメントを読み出させることで攻撃者が任意のファイルを読んだり、DoS攻撃を引き起こす可能性が有ります。
主なディストリビューションの対応方法
debian
ubuntu
http://people.canonical.com/%7Eubuntu-security/cve/2015/CVE-2015-8806.html
http://people.canonical.com/%7Eubuntu-security/cve/2016/CVE-2016-1762.html
http://people.canonical.com/%7Eubuntu-security/cve/2016/CVE-2016-1833.html
http://people.canonical.com/%7Eubuntu-security/cve/2016/CVE-2016-1834.html
http://people.canonical.com/%7Eubuntu-security/cve/2016/CVE-2016-1835.html
http://people.canonical.com/%7Eubuntu-security/cve/2016/CVE-2016-1836.html
http://people.canonical.com/%7Eubuntu-security/cve/2016/CVE-2016-1837.html
http://people.canonical.com/%7Eubuntu-security/cve/2016/CVE-2016-1838.html
http://people.canonical.com/%7Eubuntu-security/cve/2016/CVE-2016-1839.html
http://people.canonical.com/%7Eubuntu-security/cve/2016/CVE-2016-1840.html
http://people.canonical.com/%7Eubuntu-security/cve/2016/CVE-2016-2073.html
http://people.canonical.com/%7Eubuntu-security/cve/2016/CVE-2016-3627.html
http://people.canonical.com/%7Eubuntu-security/cve/2016/CVE-2016-3705.html
http://people.canonical.com/%7Eubuntu-security/cve/2016/CVE-2016-4447.html
http://people.canonical.com/%7Eubuntu-security/cve/2016/CVE-2016-4448.html
http://people.canonical.com/%7Eubuntu-security/cve/2016/CVE-2016-4449.html
Red Hat Enterprise Linux/CentOS
7系列, 6系列
Oracle Linux
7系列, 6系列
SUSE
CVE-2015-8806
CVE-2016-1762
CVE-2016-1833
CVE-2016-1834
CVE-2016-1835
CVE-2016-1836
CVE-2016-1837
CVE-2016-1838
CVE-2016-1839
CVE-2016-1840
CVE-2016-2073
CVE-2016-3627
CVE-2016-3705
CVE-2016-4447
CVE-2016-4448
CVE-2016-4449
[参考]
The XML C parser and toolkit of Gnome
7/22にノベル株式会社様と共催で「クラウド・OSSセキュリティセミナー」と題して、OpenStack基盤自体のセキュリティに関して、デモを交えたセミナーを行います。
https://sios.secure.force.com/webform/SeminarDetail?id=70110000000sotpAAAがプログラム内容と申し込みの
詳細になりますので、是非お申し込み下さい。