Vulnérabilités dans la librairie libxml2

Date de publication :

CVE-2021-3516 [Score CVSS v3 : 7.8]
Une vulnérabilité a été corrigée au sein du programme xmllint de libxml2. Son exploitation peut permettre à un attaquant local et non authentifié de déclencher un "use-after-free" et d’exécuter du code arbitraire.

CVE-2021-3517 [Score CVSS v3 : 8.6]
Une vulnérabilité a été corrigée au sein  la fonctionnalité d'encodage des entités xml dans libxml2. Son exploitation peut permettre à un attaquant distant et non authentifié de déclencher une lecture hors limites et de provoquer un déni de service et potentiellement d’exécuter du code arbitraire.

CVE-2021-3518 [Score CVSS v3 : 8.8]
Une vulnérabilité a été corrigée au sein du programme xmllint de libxml2. Son exploitation peut permettre à un attaquant distant et non authentifié de déclencher un "use-after-free" et d’exécuter du code arbitraire.

CVE-2021-3541 [Score CVSS v3 : 6.5]
Une faille a été corrigée dans libxml2. Une erreur dans les mécanismes de sécurité de la librairie la rend vulnérable aux attaques par expansion exponentielle d’entités XML. Un attaquant distant et non authentifié peut alors être en mesure de provoquer un déni de service.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire
  • Exposition d’informations sensibles
  • Déni de services

Criticité

  • Scores CVSS v3 : 8.8 max

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.

Composants vulnérables

  • Les versions de la libraire libxml2 antérieures à la 2.9.11 sont impactées par ces vulnérabilités.

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour la librairie libxml2 vers la version 2.9.11 ou ultérieure.

Solution de contournement

  • Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.

Liens