製品・ソフトウェアに関する情報
Vulnerability Search
Expat の big2_toUtf8 関数におけるサービス運用妨害 (DoS) の脆弱性
Title Expat の big2_toUtf8 関数におけるサービス運用妨害 (DoS) の脆弱性
Summary

Perl 用の XML-Twig モジュールで使用される Expat の libexpat の lib/xmltok.c の big2_toUtf8 関数には、サービス運用妨害 (DoS) 状態となる脆弱性が存在します。 本脆弱性は、CVE-2009-2625 および CVE-2009-3720 とは異なる脆弱性です。

Possible impacts 攻撃者により、lib/xmlparse.c の doProlog 関数に関連したバッファオーバーリードが誘発される不正な UTF-8 シーケンスが含まれた XML ドキュメントを介して、サービス運用妨害 (DoS) 状態にされる可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date Dec. 4, 2009, midnight
Registration Date Jan. 18, 2010, 12:22 p.m.
Last Update Dec. 18, 2012, 12:01 p.m.
CVSS2.0 : 警告
Score 5
Vector AV:N/AC:L/Au:N/C:N/I:N/A:P
Affected System
サン・マイクロシステムズ
OpenSolaris (sparc)
OpenSolaris (x86)
Sun Solaris 10 (sparc)
Sun Solaris 10 (x86)
レッドハット
Red Hat Enterprise Linux 3 (as)
Red Hat Enterprise Linux 3 (es)
Red Hat Enterprise Linux 3 (ws)
Red Hat Enterprise Linux 4 (as)
Red Hat Enterprise Linux 4 (es)
Red Hat Enterprise Linux 4 (ws)
Red Hat Enterprise Linux 4.8 (as)
Red Hat Enterprise Linux 4.8 (es)
Red Hat Enterprise Linux 5 (server)
Red Hat Enterprise Linux Desktop 3.0
Red Hat Enterprise Linux Desktop 4.0
Red Hat Enterprise Linux Desktop 5.0 (client)
Red Hat Enterprise Linux EUS 5.4.z (server)
RHEL Desktop Workstation 5 (client)
ヒューレット・パッカード
HP-UX 11.11
HP-UX 11.23
HP-UX 11.31
HP-UX Apache-based Web Server v.2.0.64.01
HP-UX Apache-based Web Server v.2.2.15.05
HP-UX Web Server Suite v.2.33
HP-UX Web Server Suite v.3.15
Apache Software Foundation
Apache HTTP Server 2.0.64 未満
Apache HTTP Server 2.2.17 未満
IBM
IBM HTTP Server 6.1.0.35 未満
IBM HTTP Server 7.0.0.15 未満
IBM SDK, 1.5
IBM WebSphere Application Server 6.1.0.35 未満
サイバートラスト株式会社
Asianux Server 2.0
Asianux Server 2.1
Asianux Server 3 (x86)
Asianux Server 3 (x86-64)
Asianux Server 3.0
Asianux Server 3.0 (x86-64)
Asianux Server 4.0
Asianux Server 4.0 (x86-64)
VMware
VMware ESXi 3.5
VMware ESXi 4.0
VMware ESXi 4.1
VMware ESXi 5.0
Expat
Expat 2.0.1
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2010年01月18日]
  掲載
[2010年11月05日]
  影響を受けるシステム:Apache Software Foundation (Fixed in Apache httpd 2.0.64) の情報を追加
  影響を受けるシステム:Apache Software Foundation (Fixed in Apache httpd 2.2.17) の情報を追加
  ベンダ情報:Apache Software Foundation (Fixed in Apache httpd 2.0.64) を追加
  ベンダ情報:Apache Software Foundation (Fixed in Apache httpd 2.2.17) を追加
[2011年01月07日]
  影響を受けるシステム:IBM (7007951) の情報を追加
  影響を受けるシステム:IBM (7008517) の情報を追加
  影響を受けるシステム:IBM (PM24234) の情報を追加
  ベンダ情報:IBM (7007951) を追加
  ベンダ情報:IBM (7008517) を追加
  ベンダ情報:IBM (PM24234) を追加
[2011年03月22日]
  ベンダ情報:IBM (7014506) を追加
[2011年04月06日]
  影響を受けるシステム:ヒューレット・パッカード (HPUXWSATW233) の情報を追加
  影響を受けるシステム:ヒューレット・パッカード (HPUXWSATW315) の情報を追加
  影響を受けるシステム:ヒューレット・パッカード (HPSBUX02645) の情報を追加
  ベンダ情報:ヒューレット・パッカード (HPUXWSATW233) を追加
  ベンダ情報:ヒューレット・パッカード (HPUXWSATW315) を追加
  ベンダ情報:ヒューレット・パッカード (HPSBUX02645) を追加
[2012年12月18日]
  影響を受けるシステム:VMware (VMSA-2012-0001) の情報を追加
  ベンダ情報:VMware (VMSA-2012-0001) を追加		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2009-3560
Summary

The big2_toUtf8 function in lib/xmltok.c in libexpat in Expat 2.0.1, as used in the XML-Twig module for Perl, allows context-dependent attackers to cause a denial of service (application crash) via an XML document with malformed UTF-8 sequences that trigger a buffer over-read, related to the doProlog function in lib/xmlparse.c, a different vulnerability than CVE-2009-2625 and CVE-2009-3720.

Publication Date Dec. 5, 2009, 6:30 a.m.
Registration Date Jan. 29, 2021, 1:24 p.m.
Last Update Nov. 7, 2023, 11:04 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:libexpat_project:libexpat:2.0.1:*:*:*:*:*:*:*
execution environment
1 cpe:2.3:a:xmltwig:xml-twig_for_perl:*:*:*:*:*:*:*:*
Configuration2 or higher or less more than less than
cpe:2.3:a:apache:http_server:*:*:*:*:*:*:*:* 2.0.35 2.0.64
cpe:2.3:a:apache:http_server:*:*:*:*:*:*:*:* 2.2.0 2.2.17
Related information, measures and tools
Common Vulnerabilities List