CERT-FI haavoittuvuustiedote 073/2009

6.8.2009

Haavoittuvuuksia XML-kirjastoissa

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset - verkon aktiivilaitteet - matkaviestimet - sulautetut järjestelmät - muut	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - palvelunestohyökkäys	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

XML (Extensible Markup Language) on World Wide Web Consortiumin (W3C) määrittelemä yleinen kieli, jota käytetään tiedon ja dokumenttien käsittelyyn lähes kaikissa tietojärjestelmissä. XML-kirjastototeutuksista on löydetty useita haavoittuvuuksia. CERT-FI toimi haavoittuvuuksien korjausprosessin koordinoijana.

Haavoittuvuudet liittyvät odottamattomia tavuarvoja ja useita toistettuja sulkeita sisältävien XML-elementtien käsittelyyn, joka voi johtaa muistinkäsittelyvirheeseen tai päättymättömään silmukkaan. Haavoittuvuudet voivat aikaansaada kohdejärjestelmässä palvelunestotilan, tai potentiaalisesti mahdollistaa hyökkääjän oman ohjelmakoodin suorituksen kohdejärjestelmässä. Haavoittuvuuksia voi hyväksikäyttää houkuttelemalla käyttäjä avaamaan tietyllä tavalla muotoiltu tiedosto, tai lähettämällä se XML-muotoisia tiedostoja käsittelevälle palvelimelle.

Haavoittuvuuskoordinointi

CERT-FI on koordinoinut haavoittuvuuksien julkaisun haavoittuvuuden löytäjän ja haavoittuvan tuotteen valmistajan välillä. CERT-FI kiittää Codenomiconin CROSS-projektin Jukka Taimistoa, Tero Ronttia ja Rauli Kaksosta haavoittuvuuden raportoinnista ja koordinointiin osallistuneita valmistajia yhteistyöstä haavoittuvuuden korjaamisessa.

HAAVOITTUVAT OHJELMISTOT:

• Python libexpat, kaikki versiot
• Korjattu Python-versiossa 3.1.1
  

• Apache Xerces C++, kaikki versiot
  
• Korjattu Red Hat-versioissa xerces-c27-2.7.0-8, xerces-c-2.7.0-8 ja xerces-c-2.8.0-5
• libxml2, kaikki versiot
  
• Korjattu libxml2-versiossa 2.7.4
  
• Korjattu Red Hat-versioissa libxml2-2.6.26-2.1.2.8, libxml-1.8.17-9.3, libxml2-2.5.10-15 ja libxml2-2.6.16-12.7
• Korjattu Ubuntu-versioissa 2.6.24.dfsg-1ubuntu1.5, 2.6.31.dfsg-2ubuntu1.4, 2.6.32.dfsg-4ubuntu1.2 ja 2.6.32.dfsg-5ubuntu4.2
• Korjattu Debian-versioissa 2.6.27.dfsg-6+etch1 ja 2.6.32.dfsg-5+lenny1
• Korjattu Mandriva-versioissa libxml1-1.8.17-12.1mdv2008.1, libxml2_2-2.6.31-1.5mdv2008.1, libxml1-1.8.17-14.1mdv2009.0, libxml2_2-2.7.1-1.4mdv2009.0, libxml1-1.8.17-14.1mdv2009.1, libxml2_2-2.7.3-2.1mdv2009.1, libxml1-1.8.17-6.2.C30mdk, libxml2-2.6.6-1.7.C30mdk, libxml1-1.8.17-8.1.20060mlcs4, libxml2-2.6.21-3.6.20060mlcs4, libxml1-1.8.17-14.1mdvmes5, libxml2_2-2.7.1-1.4mdvmes5 ja vastaavat X86_64-versiot
• Korjaus OpenSuSE-tiedotteessa SUSE-SR:2009:015

• Apache Xerces Java, kaikki versiot

• Sun JDK ja JRE 6 Update 14 ja tätä aikaisemmat versiot
• Korjattu versiossa Sun JDK ja JRE 6 Update 15
• Sun JDK ja JRE 5.0 Update 19 ja tätä aikaisemmat versiot
• Korjattu versiossa SUN JDK ja JRE 5.0 Update 20

• OpenJDK 1.6, kaikki versiot
• Korjattu Red Hat-versiossa java-1.6.0-openjdk-1.6.0.0-1.2.b09
• Korjattu Ubuntu-versioissa 6b12-0ubuntu6.5 ja 6b14-1.4.1-0ubuntu11
• Apple Java for Mac OS X 10.5, kaikki versiot
• Korjattu korjauspaketissa Update 5
• OpenOffice
  
• Korjattu versiossa 3.1.1
• Korjattu versiossa 2.4.3
• Sun StarOffice ja StarSuite
  
• Korjattu versiossa StarOffice 8 update 14
• Korjattu versiossa StarSuite 8 update 14
• Korjattu versiossa StarOffice 9 update 3
  
• Korjattu versiossa StarSuite 9 update 3
• Oracle BEA JRockit
  
• Korjattu versiossa Oracle JRockit R27.6.5
• Apple OS X
  
• Korjattu versiossa 10.6.2
• VMware
  
• Korjattu versioissa ESXi 4.0, ESX 4.0, vMA 4.0 patch 2, vCenter Server 4.0 Update 1

• XML-RPC for C and C++
  
• Korjattu Ubuntu-versiossa 1.06.27-1ubuntu6.1

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva ohjelmisto valmistajan ohjeen mukaisesti. Monien kirjastojen haavoittuvuudet on korjattu vain versionhallintajärjestelmässä ja paketinhallintajärjestelmien julkaisemissa paketeissa. Haavoittuvuustiedotetta tullaan päivittämään uusien korjaustietojen myötä.

LISÄTIETOA:

Python Expat

• http://svn.python.org/projects/python/tags/r311/Misc/NEWS
• http://svn.python.org/view?view=rev&revision=74429
• CVE-2009-3720
  

Xerces C++

• http://svn.apache.org/viewvc?view=rev&revision=781488
• https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2009-1885
  
• CVE-2009-1885

Libxml2

• https://rhn.redhat.com/errata/RHSA-2009-1206.html
• http://www.debian.org/security/2009/dsa-1859
• http://www.ubuntu.com/usn/USN-815-1
• http://lists.mandriva.com/security-announce/2009-08/msg00030.php
• http://lists.opensuse.org/opensuse-security-announce/2009-09/msg00001.html
  
• CVE-2009-2414
• CVE-2009-2416
  

Sun Java

• http://sunsolve.sun.com/search/document.do?assetkey=1-66-263489-1
• https://rhn.redhat.com/errata/RHSA-2009-1199.html
• https://rhn.redhat.com/errata/RHSA-2009-1200.html
  
• CVE-2009-2625
  

Xerces Java

• http://svn.apache.org/viewvc?view=rev&revision=787353
• http://www.mandriva.com/en/support/security/advisories/?dis=2010.1&name=MDVSA-2011:108
  
• CVE-2009-2625
  

OpenJDK

• https://rhn.redhat.com/errata/RHSA-2009-1201.html
• http://www.ubuntu.com/usn/usn-814-1
• CVE-2009-2625

Apple

• http://support.apple.com/kb/HT3851
• CVE-2009-2625
• Security Update 2009-006

Google

• http://googlechromereleases.blogspot.com/2009/08/stable-update-security-fixes.html
  
• CVE-2009-2414
• CVE-2009-2416

OpenOffice

• http://www.openoffice.org/security/cves/CVE-2009-2414-2416.html
• CVE-2009-2414
• CVE-2009-2416

Sun StarOffice ja StarSuite

• http://sunsolve.sun.com/search/document.do?assetkey=1-66-266088-1
• CVE-2009-2414
• CVE-2009-2416

Oracle

• http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2009.html
• CVE-2009-2625

VMware

• http://www.vmware.com/security/advisories/VMSA-2009-0016.html
  
• CVE-2009-2414
• CVE-2009-2416
• CVE-2009-2625

XML-RPC for C and C++

• http://www.ubuntu.com/usn/usn-890-5
  

Yleistä

• http://www.codenomicon.com/labs/xml/
• http://www.codenomicon.com/labs/cross/
• http://jvn.jp/cert/JVNVU817433/index.html
• http://www.auscert.org.au/render.html?it=11436
  

Haavoittuvuuskoordinoinnin yhteystiedot

CERT-FI haavoittuvuuskoordinoinnin tavoittaa seuraavasti:

Sähköposti:vulncoord@ficora.fi

Mainitkaa tapausnumero [FICORA #245608] viestin otsikossa.

Muut yhteystiedot:

https://www.cert.fi/palvelut/yhteystiedot.html

Lisätkää postiosoitteeseen sana haavoittuvuuskoordinointi.

CERT-FI suosittelee PGP- tai SMIME-salauksen käyttöä haavoittuvuuskoordinointiasioita käsiteltäessä. Avaimistomme löytyvät osoitteesta:

https://www.cert.fi/palvelut/yhteystiedot/rooliavaimet.html

PÄIVITYSHISTORIA:

6.8.2009, kello 00.30: Julkaistu
10.8.2009, kello 14.02: Lisätty tieto OpenJDK:sta
10.8.2009, kello 17.00: Lisätty tieto libxml2:sta
11.8.2009, kello 9.50: Lisätty Debian-projektin tiedote
12.8.2009, kello 10.30: Lisätty Xerces-Javan, Red Hatin ja Ubuntun päivityksiä ja selvennetty tiedotetta korjauksien osalta
13.8.2009, kello 12.40: Lisätty tieto Mandriva-päivityksistä
25.8.2009, kello 10.15: Lisätty tieto Python-päivityksestä
4.9.2009, kello 12.10: Lisätty tieto Java for Mac OS X -päivityksistä
17.9.2009, kello 15.30: Lisätty tieto Google Chrome -päivityksestä
22.9.2009, kello 13.00: Lisätty tieto OpenSUSE, StarOffice ja OpenOffice -päivityksistä
21.10.2009, kello 16.20: Lisätty tieto Oraclen päivityksestä
28.10.2009, kello 14.45: Lisätty CVE-numero Python libexpat -haavoittuvuuteen
2.11.2009, kello 16.00: Lisätty tieto Apple OS X -käyttöjärjestelmän päivityksistä
4.11.2009, kello 10.15: Lisätty tieto korjatusta libxml2-kirjaston versiosta
23.11.2009, kello 17.30: Lisätty tieto VMwaren korjauksista
26.2.2010, kello 14.30: Lisätty tieto XML-RPC for X and C++ -korjauksista
16.6.2011, kello 17.11: Lisätty tieto Mandriva-päivityksistä

Sivua päivitetty 16.06.2011

Tulostusversio