![[CERT-SE]](/static/img/cert-se.svg)
![[MSB]](/static/img/msb.svg)
Publicerad
SR09-142 - Sårbarheter i XML-bibliotek
Ett flertal sårbarheter vid parsning av XML-data har hittats i ett antal XML-biblioteksimplementationer.
Problembeskrivning
CVE-referens: CVE-2009-1885 CVE-2009-2625
Genom att skicka speciellt formaterad xml-kod till en sårbar xml-parser kan en angripare utföra en tillgänglighetsattack eller potentiellt exekvera kod. Sårbarheten kan utnyttjas genom att en användare öppnar en speciellt utformad fil eller genom att en speciellt utformad fil skickas till en server som hanterar xml-kod.
Sårbarheten upptäcktes av Jukka Taimisto, Tero Rontti och Rauli Kaksonen vid Codeconomicon. CERT-FI har hanterat koordineringen av sårbarheten med berörda parter.
Påverkade versioner
- Python libexpat
- Apache Xerces, all versions
- Sun JDK and JRE 6 Update 14 and earlier
- Sun JDK and JRE 5.0 Update 19 and earlier
- OpenJDK 1.6
Mer information och programrättningar
https://www.cert.fi/en/reports/2009/vulnerability2009085.html
http://www.codenomicon.com/news/press-releases/2009-08-05.shtml
http://sunsolve.sun.com/search/document.do?assetkey=1-66-263489-1
http://svn.apache.org/viewvc?view=rev&revision=781488