Background Print only logo
Cert logo
på svenska | in English
www.viestintävirasto.fi
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

Kyberturvallisuuskeskus

PL 313
00181 Helsinki

Mediayhteydenotot puhelimitse:
0295 390 248

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puhelinvaihde: 0295 390 100

Tarkat yhteystiedot

Tietoa evästeistä

Kyberturvallisuuskeskus Facebookissa

Etusivu > Haavoittuvuudet > 2009 > Haavoittuvuustiedote 073/2009

Haavoittuvuustiedote 073/2009

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

6.8.2009

Haavoittuvuuksia XML-kirjastoissa

     
Kohde: - palvelimet ja palvelinsovellukset
- työasemat ja loppukäyttäjäsovellukset
- verkon aktiivilaitteet
- matkaviestimet
- sulautetut järjestelmät
- muut
Lisätietoja
Hyökkäystapa: - etäkäyttö
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- palvelunestohyökkäys
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja
XML (Extensible Markup Language) on World Wide Web Consortiumin (W3C) määrittelemä yleinen kieli, jota käytetään tiedon ja dokumenttien käsittelyyn lähes kaikissa tietojärjestelmissä. XML-kirjastototeutuksista on löydetty useita haavoittuvuuksia. CERT-FI toimi haavoittuvuuksien korjausprosessin koordinoijana.

Haavoittuvuudet liittyvät odottamattomia tavuarvoja ja useita toistettuja sulkeita sisältävien XML-elementtien käsittelyyn, joka voi johtaa muistinkäsittelyvirheeseen tai päättymättömään silmukkaan. Haavoittuvuudet voivat aikaansaada kohdejärjestelmässä palvelunestotilan, tai potentiaalisesti mahdollistaa hyökkääjän oman ohjelmakoodin suorituksen kohdejärjestelmässä. Haavoittuvuuksia voi hyväksikäyttää houkuttelemalla käyttäjä avaamaan tietyllä tavalla muotoiltu tiedosto, tai lähettämällä se XML-muotoisia tiedostoja käsittelevälle palvelimelle.

Haavoittuvuuskoordinointi

CERT-FI on koordinoinut haavoittuvuuksien julkaisun haavoittuvuuden löytäjän ja haavoittuvan tuotteen valmistajan välillä. CERT-FI kiittää Codenomiconin CROSS-projektin Jukka Taimistoa, Tero Ronttia ja Rauli Kaksosta haavoittuvuuden raportoinnista ja koordinointiin osallistuneita valmistajia yhteistyöstä haavoittuvuuden korjaamisessa.

HAAVOITTUVAT OHJELMISTOT:

  • Python libexpat, kaikki versiot
    • Korjattu Python-versiossa 3.1.1
  • Apache Xerces C++, kaikki versiot
    • Korjattu Red Hat-versioissa xerces-c27-2.7.0-8, xerces-c-2.7.0-8 ja xerces-c-2.8.0-5
  • libxml2, kaikki versiot
    • Korjattu libxml2-versiossa 2.7.4
    • Korjattu Red Hat-versioissa libxml2-2.6.26-2.1.2.8, libxml-1.8.17-9.3, libxml2-2.5.10-15 ja libxml2-2.6.16-12.7
    • Korjattu Ubuntu-versioissa 2.6.24.dfsg-1ubuntu1.5, 2.6.31.dfsg-2ubuntu1.4, 2.6.32.dfsg-4ubuntu1.2 ja 2.6.32.dfsg-5ubuntu4.2
    • Korjattu Debian-versioissa 2.6.27.dfsg-6+etch1 ja 2.6.32.dfsg-5+lenny1
    • Korjattu Mandriva-versioissa libxml1-1.8.17-12.1mdv2008.1, libxml2_2-2.6.31-1.5mdv2008.1, libxml1-1.8.17-14.1mdv2009.0, libxml2_2-2.7.1-1.4mdv2009.0, libxml1-1.8.17-14.1mdv2009.1, libxml2_2-2.7.3-2.1mdv2009.1, libxml1-1.8.17-6.2.C30mdk, libxml2-2.6.6-1.7.C30mdk, libxml1-1.8.17-8.1.20060mlcs4, libxml2-2.6.21-3.6.20060mlcs4, libxml1-1.8.17-14.1mdvmes5, libxml2_2-2.7.1-1.4mdvmes5 ja vastaavat X86_64-versiot
    • Korjaus OpenSuSE-tiedotteessa SUSE-SR:2009:015
  • Apache Xerces Java, kaikki versiot
  • Sun JDK ja JRE 6 Update 14 ja tätä aikaisemmat versiot
    • Korjattu versiossa Sun JDK ja JRE 6 Update 15
  • Sun JDK ja JRE 5.0 Update 19 ja tätä aikaisemmat versiot
    • Korjattu versiossa SUN JDK ja JRE 5.0 Update 20
  • OpenJDK 1.6, kaikki versiot
    • Korjattu Red Hat-versiossa java-1.6.0-openjdk-1.6.0.0-1.2.b09
    • Korjattu Ubuntu-versioissa 6b12-0ubuntu6.5 ja 6b14-1.4.1-0ubuntu11
  • Apple Java for Mac OS X 10.5, kaikki versiot
    • Korjattu korjauspaketissa Update 5
  • OpenOffice
    • Korjattu versiossa 3.1.1
    • Korjattu versiossa 2.4.3
  • Sun StarOffice ja StarSuite
    • Korjattu versiossa StarOffice 8 update 14
    • Korjattu versiossa StarSuite 8 update 14
    • Korjattu versiossa StarOffice 9 update 3
    • Korjattu versiossa StarSuite 9 update 3
  • Oracle BEA JRockit
    • Korjattu versiossa Oracle JRockit R27.6.5
  • Apple OS X
    • Korjattu versiossa 10.6.2
  • VMware
    • Korjattu versioissa ESXi 4.0, ESX 4.0, vMA 4.0 patch 2, vCenter Server 4.0 Update 1
  • XML-RPC for C and C++
    • Korjattu Ubuntu-versiossa 1.06.27-1ubuntu6.1

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva ohjelmisto valmistajan ohjeen mukaisesti. Monien kirjastojen haavoittuvuudet on korjattu vain versionhallintajärjestelmässä ja paketinhallintajärjestelmien julkaisemissa paketeissa. Haavoittuvuustiedotetta tullaan päivittämään uusien korjaustietojen myötä.

LISÄTIETOA:

Python Expat
Xerces C++
Libxml2
Sun Java
Xerces Java
OpenJDK
Apple
Google
OpenOffice
Sun StarOffice ja StarSuite
Oracle
VMware
XML-RPC for C and C++
Yleistä

Haavoittuvuuskoordinoinnin yhteystiedot



CERT-FI haavoittuvuuskoordinoinnin tavoittaa seuraavasti:

Sähköposti:vulncoord@ficora.fi

Mainitkaa tapausnumero [FICORA #245608] viestin otsikossa.

Muut yhteystiedot:

https://www.cert.fi/palvelut/yhteystiedot.html

Lisätkää postiosoitteeseen sana haavoittuvuuskoordinointi.

CERT-FI suosittelee PGP- tai SMIME-salauksen käyttöä haavoittuvuuskoordinointiasioita käsiteltäessä. Avaimistomme löytyvät osoitteesta:

https://www.cert.fi/palvelut/yhteystiedot/rooliavaimet.html

PÄIVITYSHISTORIA:

6.8.2009, kello 00.30: Julkaistu
10.8.2009, kello 14.02: Lisätty tieto OpenJDK:sta
10.8.2009, kello 17.00: Lisätty tieto libxml2:sta
11.8.2009, kello 9.50: Lisätty Debian-projektin tiedote
12.8.2009, kello 10.30: Lisätty Xerces-Javan, Red Hatin ja Ubuntun päivityksiä ja selvennetty tiedotetta korjauksien osalta
13.8.2009, kello 12.40: Lisätty tieto Mandriva-päivityksistä
25.8.2009, kello 10.15: Lisätty tieto Python-päivityksestä
4.9.2009, kello 12.10: Lisätty tieto Java for Mac OS X -päivityksistä
17.9.2009, kello 15.30: Lisätty tieto Google Chrome -päivityksestä
22.9.2009, kello 13.00: Lisätty tieto OpenSUSE, StarOffice ja OpenOffice -päivityksistä
21.10.2009, kello 16.20: Lisätty tieto Oraclen päivityksestä
28.10.2009, kello 14.45: Lisätty CVE-numero Python libexpat -haavoittuvuuteen
2.11.2009, kello 16.00: Lisätty tieto Apple OS X -käyttöjärjestelmän päivityksistä
4.11.2009, kello 10.15: Lisätty tieto korjatusta libxml2-kirjaston versiosta
23.11.2009, kello 17.30: Lisätty tieto VMwaren korjauksista
26.2.2010, kello 14.30: Lisätty tieto XML-RPC for X and C++ -korjauksista
16.6.2011, kello 17.11: Lisätty tieto Mandriva-päivityksistä

Sivua päivitetty 16.06.2011   Tulostusversio Tulostusversio

Tähän haavoittuvuuteen liittyvää luettavaa