Multiples vulnérabilités dans libxml2
Date de publication :
Deux vulnérabilités ont été découvertes dans libxml2, une bibliothèque permettant la prise en charge de fichiers au format XML. Elles permettent toute deux à un attaquant de mener à une situation de déni de service sur la machine visée.
CVE-2019-19956 [Score CVSS v3 : 7.5] : Une fuite de mémoire a été découverte dans le fichier parser.c de libxml2. Dans certaines conditions spécifiques, une zone de la mémoire n’est pas libérée correctement, conduisant à une occupation croissante de celle-ci. Un attaquant exploitant répétitivement cette faille pourrait conduire à un épuisement des ressources mémoires du système et donc à une situation de déni de service.
CVE-2020-7595 [Score CVSS v3 : 7.5] : Une boucle infinie a été découverte dans le fichier parser.c de libxml2. Dans certaines situations de terminaison de fichier XML, une fonction du programme renvoie une valeur nulle non-attendue, conduisant ensuite lors de son utilisation dans une autre fonction à une boucle dont la condition de terminaison n’est pas satisfiable. Un attaquant exploitant avec succès cette faille peut conduire à une utilisation non-contrôlée du processeur de la machine et donc à une situation de déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
Criticité
- Score CVSS v3 : 7.5
Existence d’un code d’exploitation
- Pas de code d’exploitation disponible à ce jour
Composants vulnérables
- libxml2 version antérieure à 2.9.10
CVE
- CVE-2019-19956
- CVE-2020-7595
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour libxml2 vers une version disposant du correctif de sécurité
Solution de contournement
- Aucune solution de contournement n’est disponible