Libxml2: le déni de service activer plusieurs points faibles

Le bureau fédéral pour Sécurité Dans Information Technology (BSI), le 23 février 2025, une mise à jour d’un écart de sécurité pour LiBXML2, qui est devenue connue le 18 mai 2017. Le système d’exploitation Linux et les produits Debian Linux, Ubuntu Linux, Open Source Libxml2 et Suse Linux sont affectés par l’écart de sécurité.

Les dernières recommandations du fabricant concernant les mises à jour, les solutions de contournement et les correctifs de sécurité pour ces lacunes de sécurité peuvent être trouvées ici: Debian Security Advisory DLA-4064 (À partir de: 22.02.2025). D’autres sources utiles sont répertoriées ci-dessous dans cet article.

Note de sécurité pour libxml2 – Risque: moyen

Niveau de risque: 3 (milieu)
Score de base CVSS: 7,5
CVSS Score temporel: 6,9
RemoteanGriff: JA

Le système de notation de vulnérabilité commun (CVSS) est utilisé pour évaluer la vulnérabilité des systèmes informatiques. La norme CVSS permet de comparer les écarts de sécurité potentiels ou réels en fonction de divers critères afin de mieux hiérarchiser les contre-mesures. Les attributs sont “aucun”, “bas”, “milieu”, “élevé” et “critique” pour la gravité d’un point faible. Le score de base évalue les conditions préalables à une attaque (authentification UA, complexité, privilèges, interaction utilisateur) et ses conséquences. Pendant le score temporel, les conditions de cadre modifiables se déroulent dans l’évaluation au fil du temps. Après le CVSS, la mise en danger de la faiblesse traitée ici est classée comme un “milieu” avec un score de base de 7,5.

Bogue LIBXML2: le déni de service Activer plusieurs points faibles

LIBXML est un analyseur C et une trousse d’outils qui a été développée pour le projet GNOME.

Un attaquant éloigné et anonyme peut profiter de plusieurs vulnérabilités dans LiBXML2 pour effectuer une attaque de déni de service.

Les faiblesses ont été classées à l’aide du système d’étiquetage CVE (vulnérabilités et expositions communes) par les numéros de série individuels CVE-2017-9047, CVE-2017-9048, CVE-2017-9049 UND CVE-2017-9050.

Systèmes affectés par l’écart de sécurité LIBXML2 à un aperçu

Système opérateur
Linux

Produits
Debian Linux (CPE: / o: Debian: Debian_linux)
Ubuntu Linux (cpe: / o: canonical: ubuntu_linux)
Open source libxml2 (cpe: / a: xmlsoft: libxml2)
Suse Linux (CPE: / O: SUSE: SUSE_LINUX)

Recommandations générales pour gérer les lacunes de sécurité informatique

1. Les utilisateurs des applications concernés devraient les tenir au courant. Lorsqu’ils prennent conscience de la sécurité, les fabricants sont encouragés à les remédier le plus rapidement possible en développant un patch ou une solution de contournement. Si de nouvelles mises à jour de sécurité sont disponibles, installez-les rapidement.
2. Consultez les sources énumérées dans la section suivante à des fins d’information. Ces informations supplémentaires contient souvent la dernière version du logiciel concerné ainsi que la disponibilité de correctifs de sécurité ou d’informations sur les solutions de contournement.
3. Si vous avez d’autres questions ou incertitudes, contactez votre administrateur responsable. Les agents de sécurité informatique devraient régulièrement vérifier les sources mentionnées si une nouvelle mise à jour de sécurité est disponible.

Informations sur le fabricant pour les mises à jour, les correctifs et les solutions de contournement

À ce stade, il y a d’autres liens avec des informations sur les rapports de bogues, les correctifs de sécurité et les solutions de contournement.

Debian Security Advisory DLA-4064 VOM 2025-02-22 (23.02.2025)
Vous pouvez trouver plus d’informations sur:

Avis de sécurité Ubuntu USN-3424-2 VOM 2017-10-11 (10.10.2017)
Vous pouvez trouver plus d’informations sur:

Avis de sécurité Ubuntu USN-3424-1 VOM 2017-09-19 (18.09.2017)
Vous pouvez trouver plus d’informations sur:

Debian Security Advisory DSA-3952-1 VOM 2017-08-23 (22.08.2017)
Vous pouvez trouver plus d’informations sur:

Mise à jour de la sécurité SUSE SUSE-SU-2017: 1587-1 VOM 2017-06-17 (18.06.2017)
Vous pouvez trouver plus d’informations sur:

Mise à jour de la sécurité SUSE SUSE-SU-2017: 1557-1 VOM 2017-06-14 (13.06.2017)
Vous pouvez trouver plus d’informations sur:

Mise à jour de la sécurité SUSE SUSE-SU-2017: 1538-1 VOM 2017-06-13 (12.06.2017)
Vous pouvez trouver plus d’informations sur:

Mise à jour de la sécurité SUSE SUSE-SU-2017: 1454-1 VOM 2017-05-31 (31.05.2017)
Vous pouvez trouver plus d’informations sur:

CVE Détails VOM 2017-05-18 (18.05.2017)
Vous pouvez trouver plus d’informations sur:

CVE Détails VOM 2017-05-18 (18.05.2017)
Vous pouvez trouver plus d’informations sur:

CVE Détails VOM 2017-05-18 (18.05.2017)
Vous pouvez trouver plus d’informations sur:

CVE Détails VOM 2017-05-18 (18.05.2017)
Vous pouvez trouver plus d’informations sur:

Openwall Oss-Security VOM 2017-05-18 (18.05.2017)
Vous pouvez trouver plus d’informations sur:

Historique de la version de cette note de sécurité

Il s’agit de la 10e version de l’avis de sécurité informatique actuel pour libxml2. Si d’autres mises à jour sont annoncées, ce texte sera mis à jour. Vous pouvez comprendre les modifications apportées en utilisant l’historique de version suivante.

18.05.2017 – Libération initiale
18 mai 2017 – Version non disponible
31.05.2017 – Nouvelles remèdes disponibles
12.06.2017 – Nouvelles remèdes disponibles
13.06.2017 – Nouvelles remèdes disponibles
18.06.2017 – Nouvelles corrections disponibles
22.08.2017 – Nouvelles remèdes disponibles
18.09.2017 – Nouvelles remèdes disponibles
10.10.2017 – Nouvelles remèdes disponibles
25.01.2018 – Ajout de références
23.02.2025 – De nouvelles mises à jour de Debian enregistrées

+++ Remarque éditoriale: Ce texte a été généré sur la base des données BSI actuels et est mise à jour en fonction du système d’avertissement. Nous acceptons les commentaires et les commentaires sur [email protected]. +++

Suivre News.de déjà avec Facebook, Gazouillement, Pinterest et Youtube? Ici, vous trouverez Brand Hot News, les vidéos actuelles et la ligne directe de l’équipe éditoriale.

KNS / ROJ / NEWS.DE