Уязвимость BDU:2018-00090

Идентификатор: BDU:2018-00090.

Наименование уязвимости: Уязвимость макроса NEXTL парсера xml-файлов (parser.c) библиотеки libxml2, позволяющая нарушителю внедрить XML-сущности.

Описание уязвимости: Уязвимость макроса NEXTL парсера xml-файлов (parser.c) библиотеки libxml2 вызвана выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, внедрить XML-сущности (XML eXternal Entity (XXE) Injection) при помощи специально сформированного DTD-имени, содержащего символ «%»
Уязвимое ПО: Прикладное ПО информационных систем libxml2 до 2.9.5 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 05.11.2017.
CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:P
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Использование рекомендаций:
http://xmlsoft.org/news.html.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2017-16931.
Прочая информация: —
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://xmlsoft.org/news.html
https://bugzilla.gnome.org/show_bug.cgi?id=766956
https://github.com/GNOME/libxml2/commit/e26630548e7d138d2c560844c43820b6767251e3