CERT-FIから発表された脆弱性。
XMLをパースするコードに脆弱性があり、DoSあるいはコード実行の危険がある。
影響が大きそう。
CERT-FIの発表
CERT-FI - CERT-FI Advisory on XML libraries
XML要素で、予期しないバイト値とネスとされたカッコを含むデータをパースする際に、メモリ境界外へのアクセスや、無限ループが発生する。
対象:
# Python libexpat
# Apache Xerces, all versions
# Sun JDK and JRE 6 Update 14 and earlier
# Sun JDK and JRE 5.0 Update 19 and earlier
XML flaw threatens apps built with Sun, Apache, Python libraries - Network World
Vulnerabilities discovered in XML libraries from Sun, Apache Software Foundation and Python Software Foundation could result in successful denial-of-service attacks on applications built with them, according to Codenomicon."There are probably millions of these applications," says Dave Chartier, CEO of Codenomicon, the security vendor that makes a protocol-analysis fuzzing tool, Defensics, and earlier this year added a way to test for vulnerabilities in XML code.
多分何百万種類ものアプリケーションが該当する。
XMLがどこで使われているかの説明が興味深い。
"XML implementations are ubiquitous -- they are found in systems and services where one would not expect to find them," XMLの実装は普遍的だ。使われていると想像もしないようなシステムやサービスに使われている。
だから危険だ、ということ。
続報。
Expect hacker attacks on XML flaws, analyst warns - Network World
この脆弱性を持つライブラリは広範なアプリケーションで使われている。
The bigger issue is that many developers have implemented open-source XML libraries in custom and commercial applications, and over the years, people may be unaware what has been used in an application, he says.より大きな問題は、多くの開発者がオープンソースのXMLライブラリをカスタムや商用のアプリケーションに使用して、時とともに何が使われているのかわからなくなっている場合があることだ。
Leave a comment