Vulnerabilidad en parser.c en libxml2 (CVE-2014-3660)
Gravedad CVSS v2.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
04/11/2014
Última modificación:
12/04/2025
Descripción
parser.c en libxml2 anterior a 2.9.2 no previene debidamente la expansión de entidades incluso cuando la substitución de entidades haya sido deshabilitada, lo que permite a atacantes dependientes de contexto causar una denegación de servicio (consumo de CPU) a través de un documento XML manipualdo que contiene un número grande de referencias de entidades anidadas, una variante del ataque del 'billón de risas'.
Impacto
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:xmlsoft:libxml2:*:*:*:*:*:*:*:* | 2.9.1 (incluyendo) | |
| cpe:2.3:a:xmlsoft:libxml2:2.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xmlsoft:libxml2:2.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xmlsoft:libxml2:2.1.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xmlsoft:libxml2:2.2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xmlsoft:libxml2:2.2.0:beta:*:*:*:*:*:* | ||
| cpe:2.3:a:xmlsoft:libxml2:2.2.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xmlsoft:libxml2:2.2.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xmlsoft:libxml2:2.2.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xmlsoft:libxml2:2.2.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xmlsoft:libxml2:2.2.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xmlsoft:libxml2:2.2.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xmlsoft:libxml2:2.2.7:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xmlsoft:libxml2:2.2.8:*:*:*:*:*:*:* | ||
| cpe:2.3:a:xmlsoft:libxml2:2.2.9:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10705
- http://lists.apple.com/archives/security-announce/2015/Aug/msg00001.html
- http://lists.apple.com/archives/security-announce/2015/Aug/msg00002.html
- http://lists.opensuse.org/opensuse-updates/2014-10/msg00034.html
- http://lists.opensuse.org/opensuse-updates/2015-12/msg00120.html
- http://rhn.redhat.com/errata/RHSA-2014-1655.html
- http://rhn.redhat.com/errata/RHSA-2014-1885.html
- http://secunia.com/advisories/59903
- http://secunia.com/advisories/61965
- http://secunia.com/advisories/61966
- http://secunia.com/advisories/61991
- http://www.debian.org/security/2014/dsa-3057
- http://www.mandriva.com/security/advisories?name=MDVSA-2014%3A244
- http://www.openwall.com/lists/oss-security/2014/10/17/7
- http://www.oracle.com/technetwork/topics/security/bulletinjan2015-2370101.html
- http://www.oracle.com/technetwork/topics/security/ovmbulletinjul2016-3090546.html
- http://www.securityfocus.com/bid/70644
- http://www.ubuntu.com/usn/USN-2389-1
- https://bugzilla.redhat.com/attachment.cgi?id=944444&action=diff
- https://bugzilla.redhat.com/show_bug.cgi?id=1149084
- https://support.apple.com/kb/HT205030
- https://support.apple.com/kb/HT205031
- https://www.ncsc.nl/actueel/nieuwsberichten/kwetsbaarheid-ontdekt-in-libxml2.html
- http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10705
- http://lists.apple.com/archives/security-announce/2015/Aug/msg00001.html
- http://lists.apple.com/archives/security-announce/2015/Aug/msg00002.html
- http://lists.opensuse.org/opensuse-updates/2014-10/msg00034.html
- http://lists.opensuse.org/opensuse-updates/2015-12/msg00120.html
- http://rhn.redhat.com/errata/RHSA-2014-1655.html
- http://rhn.redhat.com/errata/RHSA-2014-1885.html
- http://secunia.com/advisories/59903
- http://secunia.com/advisories/61965
- http://secunia.com/advisories/61966
- http://secunia.com/advisories/61991
- http://www.debian.org/security/2014/dsa-3057
- http://www.mandriva.com/security/advisories?name=MDVSA-2014%3A244
- http://www.openwall.com/lists/oss-security/2014/10/17/7
- http://www.oracle.com/technetwork/topics/security/bulletinjan2015-2370101.html
- http://www.oracle.com/technetwork/topics/security/ovmbulletinjul2016-3090546.html
- http://www.securityfocus.com/bid/70644
- http://www.ubuntu.com/usn/USN-2389-1
- https://bugzilla.redhat.com/attachment.cgi?id=944444&action=diff
- https://bugzilla.redhat.com/show_bug.cgi?id=1149084
- https://support.apple.com/kb/HT205030
- https://support.apple.com/kb/HT205031
- https://www.ncsc.nl/actueel/nieuwsberichten/kwetsbaarheid-ontdekt-in-libxml2.html