製品・ソフトウェアに関する情報

JVN脆弱性詳細

Apache Xerces C++ におけるサービス運用妨害 (DoS) の脆弱性

タイトル	Apache Xerces C++ におけるサービス運用妨害 (DoS) の脆弱性
概要	Apache Xerces C++ の validators/DTD/DTDScanner.cpp には、ネストされたカッコおよび不正なバイト値の処理に不備があるため、サービス運用妨害 (DoS) 状態となる脆弱性が存在します。
想定される影響	ネストされたカッコおよび不正なバイト値により、サービス運用妨害 (DoS) 状態にされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2009年8月6日0:00
登録日	2009年9月10日11:33
最終更新日	2010年5月6日13:47

影響を受けるシステム

Apache Software Foundation

Apache Xerces-C++ 2.7.0

Apache Xerces-C++ 2.8.0

日本電気

CLUSTERPRO

CSVIEW

InfoFrame DocumentSkipper

WebSAM LogCollector

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-1885	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1885
National Vulnerability Database (NVD)
2	CVE-2009-1885	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-1885

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-119	https://jvndb.jvn.jp/ja/cwe/CWE-119.html

ベンダー情報

No	名前	URL
Apache-SVN
1	781488	http://svn.apache.org/viewvc?view=rev&revision=781488
NEC製品セキュリティ情報
2	NV09-010	http://www.nec.co.jp/security-info/secinfo/nv09-010.html

その他

No	名前	URL
CERT Advisory
1	CERT-FI Advisory on XML libraries	http://www.cert.fi/en/reports/2009/vulnerability2009085.html
ISS X-Force Database
2	52321	http://xforce.iss.net/xforce/xfdb/52321
JVN
3	JVNVU#817433	http://jvn.jp/cert/JVNVU817433/index.html
Secunia Advisory
4	SA36201	http://secunia.com/advisories/36201
SecurityFocus
5	35986	http://www.securityfocus.com/bid/35986
VUPEN Security
6	VUPEN/ADV-2009-2196	http://www.vupen.com/english/advisories/2009/2196

変更履歴

No	変更内容	変更日
0	[2009年09月10日] 掲載 [2009年12月28日] 影響を受けるシステム：日本電気 (NV09-010) の情報を追加 [2010年05月06日] 影響を受けるシステム：日本電気 (NV09-010) の情報を更新	2018年2月17日10:37

NVD脆弱性情報

CVE-2009-1885

概要	Stack consumption vulnerability in validators/DTD/DTDScanner.cpp in Apache Xerces C++ 2.7.0 and 2.8.0 allows context-dependent attackers to cause a denial of service (application crash) via vectors involving nested parentheses and invalid byte values in "simply nested DTD structures," as demonstrated by the Codenomicon XML fuzzing framework.
公表日	2009年8月12日3:30
登録日	2021年1月29日13:18
最終更新日	2017年8月17日10:30

影響を受けるソフトウェアの構成

関連情報、対策とツール

No	URL	refsource	タグ
1	http://secunia.com/advisories/36201	SECUNIA	Vendor Advisory
2	http://svn.apache.org/viewvc/xerces/c/trunk/src/xercesc/validators/DTD/DTDScanner.cpp?r1=781488&r2=781487&pathrev=781488&view=patch	CONFIRM
3	http://svn.apache.org/viewvc?view=rev&revision=781488	CONFIRM	Exploit
4	http://www.cert.fi/en/reports/2009/vulnerability2009085.html	MISC
5	http://www.codenomicon.com/labs/xml/	MISC
6	http://www.mandriva.com/security/advisories?name=MDVSA-2009:223	MANDRIVA
7	http://www.networkworld.com/columnists/2009/080509-xml-flaw.html	MISC
8	http://www.securityfocus.com/bid/35986	BID
9	http://www.vupen.com/english/advisories/2009/2196	VUPEN	Patch Vendor Advisory
10	https://bugzilla.redhat.com/show_bug.cgi?id=515515	CONFIRM	Patch
11	https://exchange.xforce.ibmcloud.com/vulnerabilities/52321	XF
12	https://www.redhat.com/archives/fedora-package-announce/2009-August/msg01001.html	FEDORA
13	https://www.redhat.com/archives/fedora-package-announce/2009-August/msg01099.html	FEDORA
14	https://www.redhat.com/archives/fedora-package-announce/2009-August/msg01136.html	FEDORA
15	https://www.redhat.com/archives/fedora-package-announce/2009-August/msg01150.html	FEDORA

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-119	バッファエラー	https://cwe.mitre.org/data/definitions/118.html