Összefoglaló
Az XML-RPC for C/C++ olyan sérülékenységeit jelentették, amelyeket a támadók kihasználva szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő a könyvtárat használó alkalmazásban.
Leírás
A sérülékenységet az alkalmazás részét képező Expat XML feldolgozóban jelentették.
- A lib/xmltok_impl.c “updatePosition()” függvényében található hiba kihasználható a könyvtárat használó alkalmazás összeomlasztására erre a célra létrehozott XML adattal.
- A lib/xmlparse.c “doProlog()” függvényében található hiba kihasználható a könyvtárat használó alkalmazás összeomlasztására erre a célra létrehozott XML adattal.
- Bizonyos hash függvények hibája kihasználható hash ütköztetésre, amely magas CPU használatot eredményezhet.
A sérülékenységeket az 1.31 és korábbi verziókban jelentették.
Megoldás
A hiba javítása megtalálható a verziókezelőben. A kiadása az 1.32-es verzióban várható.
Támadás típusa
Input manipulation (Bemenet módosítás)Race condition (Versenyhelyzet)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: xmlrpc-c.sourceforge.net
SECUNIA 50648
SECUNIA 36425
CVE-2012-0876 - NVD CVE-2012-0876
CVE-2012-1148 - NVD CVE-2012-1148