BUGTRAQ ID: 36010
CVE(CAN) ID: CVE-2009-2414,CVE-2009-2416
libxml2软件包提供允许用户操控XML文件的函数库,包含有读、修改和写XML和HTML文件支持。
libxml库处理DTD中根XML文档元素定义的方式存在栈溢出漏洞,解析Notation和Enumeration属性类型的方式存在多个释放后使用漏洞。远程攻击者可以提供特制的XML文件,如果本地用户受骗打开了该文件,就会导致拒绝服务(应用程序崩溃)。
XMLSoft Libxml2 <= 2.6.26
厂商补丁:
RedHat已经为此发布了一个安全公告(RHSA-2009:1206-01)以及相应补丁:
RHSA-2009:1206-01:Moderate: libxml and libxml2 security update
链接:https://www.redhat.com/support/errata/RHSA-2009-1206.html