Multiples vulnérabilités dans libxml2

Deux vulnérabilités ont été découvertes dans libxml2, une bibliothèque permettant la prise en charge de fichiers au format XML. Elles permettent toute deux à un attaquant de mener à une situation de déni de service sur la machine visée.

CVE-2019-19956 [Score CVSS v3 : 7.5] : Une fuite de mémoire a été découverte dans le fichier parser.c de libxml2. Dans certaines conditions spécifiques, une zone de la mémoire n’est pas libérée correctement, conduisant à une occupation croissante de celle-ci. Un attaquant exploitant répétitivement cette faille pourrait conduire à un épuisement des ressources mémoires du système et donc à une situation de déni de service.

CVE-2020-7595 [Score CVSS v3 : 7.5] : Une boucle infinie a été découverte dans le fichier parser.c de libxml2. Dans certaines situations de terminaison de fichier XML, une fonction du programme renvoie une valeur nulle non-attendue, conduisant ensuite lors de son utilisation dans une autre fonction à une boucle dont la condition de terminaison n’est pas satisfiable. Un attaquant exploitant avec succès cette faille peut conduire à une utilisation non-contrôlée du processeur de la machine et donc à une situation de déni de service.

Informations
+

Risques

  • Déni de service

Criticité

  • Score CVSS v3 : 7.5

Existence d’un code d’exploitation

  • Pas de code d’exploitation disponible à ce jour

Composants vulnérables

  • libxml2 version antérieure à 2.9.10

CVE

  • CVE-2019-19956
  • CVE-2020-7595

Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour libxml2 vers une version disposant du correctif de sécurité

Solution de contournement

  • Aucune solution de contournement n’est disponible