NVD Vulnerability Detail

CVE-2014-0191

Summary	The xmlParserHandlePEReference function in parser.c in libxml2 before 2.9.2, as used in Web Listener in Oracle HTTP Server in Oracle Fusion Middleware 11.1.1.7.0, 12.1.2.0, and 12.1.3.0 and other products, loads external parameter entities regardless of whether entity substitution or validation is enabled, which allows remote attackers to cause a denial of service (resource consumption) via a crafted XML document.
Publication Date	Jan. 21, 2015, 11:59 p.m.
Registration Date	Jan. 26, 2021, 3:04 p.m.
Last Update	Nov. 21, 2024, 11:01 a.m.

CVSS2.0 : MEDIUM
Score	4.3
Vector	AV:N/AC:M/Au:N/C:N/I:N/A:P
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	中
攻撃前の認証要否(Au)	不要
機密性への影響(C)	なし
完全性への影響(I)	なし
可用性への影響(A)	低
Get all privileges.	いいえ
Get user privileges	いいえ
Get other privileges	いいえ
User operation required	いいえ

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:oracle:fusion_middleware:12.1.3.0.0:::::::*
cpe:2.3:a:oracle:fusion_middleware:11.1.1.7.0:::::::*
cpe:2.3:a:oracle:fusion_middleware:12.1.2.0.0:::::::*

Related information, measures and tools

No	URL	タグ
1	http://lists.apple.com/archives/security-announce/2015/Aug/msg00001.html
2	http://lists.apple.com/archives/security-announce/2015/Aug/msg00001.html
3	http://lists.apple.com/archives/security-announce/2015/Aug/msg00002.html
4	http://lists.apple.com/archives/security-announce/2015/Aug/msg00002.html
5	http://lists.opensuse.org/opensuse-updates/2015-12/msg00120.html
6	http://lists.opensuse.org/opensuse-updates/2015-12/msg00120.html
7	http://rhn.redhat.com/errata/RHSA-2015-0749.html
8	http://rhn.redhat.com/errata/RHSA-2015-0749.html
9	http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html	Patch Vendor Advisory
10	http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html	Patch Vendor Advisory
11	http://www.oracle.com/technetwork/topics/security/cpuoct2015-2367953.html
12	http://www.oracle.com/technetwork/topics/security/cpuoct2015-2367953.html
13	http://www.securityfocus.com/bid/67233
14	http://www.securityfocus.com/bid/67233
15	http://www-01.ibm.com/support/docview.wss?uid=swg21678183
16	http://www-01.ibm.com/support/docview.wss?uid=swg21678183
17	http://xmlsoft.org/news.html
18	http://xmlsoft.org/news.html
19	https://bugzilla.redhat.com/show_bug.cgi?id=1090976
20	https://bugzilla.redhat.com/show_bug.cgi?id=1090976
21	https://exchange.xforce.ibmcloud.com/vulnerabilities/93092
22	https://exchange.xforce.ibmcloud.com/vulnerabilities/93092
23	https://git.gnome.org/browse/libxml2/commit/?id=9cd1c3cfbd32655d60572c0a413e017260c854df
24	https://git.gnome.org/browse/libxml2/commit/?id=9cd1c3cfbd32655d60572c0a413e017260c854df
25	https://support.apple.com/kb/HT205030
26	https://support.apple.com/kb/HT205030
27	https://support.apple.com/kb/HT205031
28	https://support.apple.com/kb/HT205031

Common Vulnerabilities List

JVN Vulnerability Information

Oracle Fusion Middleware の Oracle HTTP Server における Web Listener に関する脆弱性

Title	Oracle Fusion Middleware の Oracle HTTP Server における Web Listener に関する脆弱性
Summary	Oracle Fusion Middleware の Oracle HTTP Server には、Web Listener に関する処理に不備があるため、可用性に影響のある脆弱性が存在します。本脆弱性は、CVE-2013-0338、CVE-2013-2877、および CVE-2015-0386 とは異なる脆弱性です。
Possible impacts	第三者により、サービス運用妨害 (DoS) 攻撃が行われる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Jan. 20, 2015, midnight
Registration Date	Jan. 22, 2015, 12:31 p.m.
Last Update	Oct. 22, 2015, 2:20 p.m.

Affected System

オラクル

Oracle HTTP Server 11.1.1.7

Oracle HTTP Server 12.1.2.0

Oracle HTTP Server 12.1.3.0

アップル

Apple Mac OS X 10.10 から 10.10.4

Apple Mac OS X 10.8.5

Apple Mac OS X 10.9.5

iOS 8.4.1 未満 (iPad 2 以降)

iOS 8.4.1 未満 (iPhone 4s 以降)

iOS 8.4.1 未満 (iPod touch 第 5 世代以降)

日立

Job Management Partner 1/IT Desktop Management - Manager

Job Management Partner 1/IT Desktop Management 2 - Manager

JP1/IT Desktop Management - Manager

JP1/IT Desktop Management 2 - Manager

JP1/IT Desktop Management 2 - Operations Director

VMware

VMware ESXi 5.0

VMware ESXi 5.1

VMware ESXi 5.5

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-0191	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0191
National Vulnerability Database (NVD)
2	CVE-2014-0191	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0191
SECURITY BLOG
3	CVE-2014-0191 Denial of Service(DOS) vulnerability in Libxml2	https://blogs.oracle.com/sunsecurity/entry/cve_2014_0191_denial_of

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-noinfo	https://www.ipa.go.jp/security/vuln/scap/cwe.html

ベンダー情報

No	Name	URL
Apple Mailing Lists
1	APPLE-SA-2015-08-13-2 OS X Yosemite v10.10.5 and Security Update 2015-006	http://lists.apple.com/archives/security-announce/2015/Aug/msg00001.html
2	APPLE-SA-2015-08-13-3 iOS 8.4.1	http://lists.apple.com/archives/security-announce/2015/Aug/msg00002.html
Apple Security Updates
3	HT205030	https://support.apple.com/en-us/HT205030
4	HT205031	https://support.apple.com/en-us/HT205031
Apple セキュリティアップデート
5	HT205030	https://support.apple.com/ja-jp/HT205030
6	HT205031	https://support.apple.com/ja-jp/HT205031
Hitachi Software Vulnerability Information
7	hitachi-sec-2025-122	https://www.hitachi.com/products/it/software/security/info/vuls/hitachi-sec-2025-122/index.html
Oracle Critical Patch Update
8	Oracle Critical Patch Update Advisory - January 2015	http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html
9	Oracle Critical Patch Update Advisory - October 2015	http://www.oracle.com/technetwork/topics/security/cpuoct2015-2367953.html
10	Text Form of Oracle Critical Patch Update - January 2015 Risk Matrices	http://www.oracle.com/technetwork/topics/security/cpujan2015verbose-1972976.html
11	Text Form of Oracle Critical Patch Update - October 2015 Risk Matrices	http://www.oracle.com/technetwork/topics/security/cpuoct2015verbose-2367954.html
Red Hat Security Advisory
12	RHSA-2015:0749	http://rhn.redhat.com/errata/RHSA-2015-0749.html
SECURITY BLOG
13	January 2015 Critical Patch Update Released	https://blogs.oracle.com/security/entry/january_2015_critical_patch_update
14	October 2015 Critical Patch Update Released	https://blogs.oracle.com/security/entry/october_2015_critical_patch_update
Turbolinux Security Advisory
15	TLSA-2015-10	http://www.turbolinux.co.jp/security/2015/TLSA-2015-10j.html
VMware Security Advisories
16	VMSA-2014-0012	http://www.vmware.com/security/advisories/VMSA-2014-0012.html
ソフトウェア製品セキュリティ情報
17	hitachi-sec-2025-122	https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2025-122/index.html

Change Log

No	Changed Details	Date of change
0	[2015年01月22日] 掲載 [2015年04月30日] べンダ情報：ターボリナックス (TLSA-2015-10) を追加 [2015年05月12日] ベンダ情報：レッドハット (RHSA-2015:0749) を追加 [2015年06月29日] ベンダ情報：オラクル (CVE-2014-0191 Denial of Service(DOS) vulnerability in Libxml2) を追加 [2015年08月07日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：VMware (VMSA-2014-0012) を追加 [2015年08月31日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：アップル (HT205030) を追加ベンダ情報：アップル (HT205031) を追加ベンダ情報：アップル (APPLE-SA-2015-08-13-2 OS X Yosemite v10.10.5 and Security Update 2015-006) を追加ベンダ情報：アップル (APPLE-SA-2015-08-13-3 iOS 8.4.1) を追加 [2015年10月22日] ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - October 2015) を追加ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - October 2015 Risk Matrices) を追加ベンダ情報：オラクル (October 2015 Critical Patch Update Released) を追加	Feb. 17, 2018, 10:37 a.m.
1	[2025年05月16日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日立 (hitachi-sec-2025-122) を追加	May 16, 2025, 4:01 p.m.