Kurzinfo CB-K16/0314

3 Risiko: mittel
Information zu Schwachstellen und Sicherheitslücken
Titel: Xerces: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff
Datum: 26.02.2016
Software: Apache Software Foundation Xerces-C <= 3.1.2
Plattform: Debian Linux 7.9 Wheezy, Debian Linux 8.3 Jessie
Auswirkung: Denial-of-Service
Remoteangriff: Ja
Risiko: mittel
CVE Liste: CVE-2016-0729
Bezug: Apache-SVN Revision 1727978
Beschreibung

Xerces ist die Software-Bibliothek für das Parsen, Validieren, Serialisieren und Manipulieren von XML, bereitgestellt von der Apache Software Foundation. Die Bibliothek implementiert eine Reihe von Standard APIs für das XML-Parsing, inklusive DOM, SAX und SAX2. Die Implementierung ist verfügbar in den Programmiersprachen Java, C++ und Perl. Xerces-C ist die in C++ geschriebene Variante.

Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe speziell präparierter Eingangsdaten einen Pufferüberlauf während der Verarbeitung und Fehlerbehandlung von XML-Daten im XML-Analysator Xerces-C erzeugen. Dies kann zu einem Zugriffsfehler oder zu Speicherkorruption führen, wodurch der Angreifer einen Denial-of-Service (DoS)-Zustand erzeugen oder möglicherweise beliebigen Programmcode ausführen kann. Der Hersteller informiert über diese Schwachstelle und empfiehlt, schnellstmöglich die zur Verfügung stehende Programmversion 3.1.3 einzupflegen. Debian stellt für die Distributionen Wheezy (oldstable) und Jessie (stable) Backport-Sicherheitsupdates zur Verfügung.

  1. Apache-SVN Revision 1727978

  2. Schwachstelle CVE-2016-0729 (NVD)

  3. Debian Security Advisory DSA-3493-1

  4. Xerces Security Advisory CVE-2016-0729

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.