| タイトル | Expat の big2_toUtf8 関数におけるサービス運用妨害 (DoS) の脆弱性 |
|---|---|
| 概要 | Perl 用の XML-Twig モジュールで使用される Expat の libexpat の lib/xmltok.c の big2_toUtf8 関数には、サービス運用妨害 (DoS) 状態となる脆弱性が存在します。 本脆弱性は、CVE-2009-2625 および CVE-2009-3720 とは異なる脆弱性です。 |
| 想定される影響 | 攻撃者により、lib/xmlparse.c の doProlog 関数に関連したバッファオーバーリードが誘発される不正な UTF-8 シーケンスが含まれた XML ドキュメントを介して、サービス運用妨害 (DoS) 状態にされる可能性があります。 |
| 対策 | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2009年12月4日0:00 |
| 登録日 | 2010年1月18日12:22 |
| 最終更新日 | 2012年12月18日12:01 |
| CVSS2.0 : 警告 | |
| スコア | 5 |
|---|---|
| ベクター | AV:N/AC:L/Au:N/C:N/I:N/A:P |
| サン・マイクロシステムズ |
| OpenSolaris (sparc) |
| OpenSolaris (x86) |
| Sun Solaris 10 (sparc) |
| Sun Solaris 10 (x86) |
| レッドハット |
| Red Hat Enterprise Linux 3 (as) |
| Red Hat Enterprise Linux 3 (es) |
| Red Hat Enterprise Linux 3 (ws) |
| Red Hat Enterprise Linux 4 (as) |
| Red Hat Enterprise Linux 4 (es) |
| Red Hat Enterprise Linux 4 (ws) |
| Red Hat Enterprise Linux 4.8 (as) |
| Red Hat Enterprise Linux 4.8 (es) |
| Red Hat Enterprise Linux 5 (server) |
| Red Hat Enterprise Linux Desktop 3.0 |
| Red Hat Enterprise Linux Desktop 4.0 |
| Red Hat Enterprise Linux Desktop 5.0 (client) |
| Red Hat Enterprise Linux EUS 5.4.z (server) |
| RHEL Desktop Workstation 5 (client) |
| ヒューレット・パッカード |
| HP-UX 11.11 |
| HP-UX 11.23 |
| HP-UX 11.31 |
| HP-UX Apache-based Web Server v.2.0.64.01 |
| HP-UX Apache-based Web Server v.2.2.15.05 |
| HP-UX Web Server Suite v.2.33 |
| HP-UX Web Server Suite v.3.15 |
| Apache Software Foundation |
| Apache HTTP Server 2.0.64 未満 |
| Apache HTTP Server 2.2.17 未満 |
| IBM |
| IBM HTTP Server 6.1.0.35 未満 |
| IBM HTTP Server 7.0.0.15 未満 |
| IBM SDK, 1.5 |
| IBM WebSphere Application Server 6.1.0.35 未満 |
| サイバートラスト株式会社 |
| Asianux Server 2.0 |
| Asianux Server 2.1 |
| Asianux Server 3 (x86) |
| Asianux Server 3 (x86-64) |
| Asianux Server 3.0 |
| Asianux Server 3.0 (x86-64) |
| Asianux Server 4.0 |
| Asianux Server 4.0 (x86-64) |
| VMware |
| VMware ESXi 3.5 |
| VMware ESXi 4.0 |
| VMware ESXi 4.1 |
| VMware ESXi 5.0 |
| Expat |
| Expat 2.0.1 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2010年01月18日] 掲載 [2010年11月05日] 影響を受けるシステム:Apache Software Foundation (Fixed in Apache httpd 2.0.64) の情報を追加 影響を受けるシステム:Apache Software Foundation (Fixed in Apache httpd 2.2.17) の情報を追加 ベンダ情報:Apache Software Foundation (Fixed in Apache httpd 2.0.64) を追加 ベンダ情報:Apache Software Foundation (Fixed in Apache httpd 2.2.17) を追加 [2011年01月07日] 影響を受けるシステム:IBM (7007951) の情報を追加 影響を受けるシステム:IBM (7008517) の情報を追加 影響を受けるシステム:IBM (PM24234) の情報を追加 ベンダ情報:IBM (7007951) を追加 ベンダ情報:IBM (7008517) を追加 ベンダ情報:IBM (PM24234) を追加 [2011年03月22日] ベンダ情報:IBM (7014506) を追加 [2011年04月06日] 影響を受けるシステム:ヒューレット・パッカード (HPUXWSATW233) の情報を追加 影響を受けるシステム:ヒューレット・パッカード (HPUXWSATW315) の情報を追加 影響を受けるシステム:ヒューレット・パッカード (HPSBUX02645) の情報を追加 ベンダ情報:ヒューレット・パッカード (HPUXWSATW233) を追加 ベンダ情報:ヒューレット・パッカード (HPUXWSATW315) を追加 ベンダ情報:ヒューレット・パッカード (HPSBUX02645) を追加 [2012年12月18日] 影響を受けるシステム:VMware (VMSA-2012-0001) の情報を追加 ベンダ情報:VMware (VMSA-2012-0001) を追加 |
2018年2月17日10:37 |
| 概要 | The big2_toUtf8 function in lib/xmltok.c in libexpat in Expat 2.0.1, as used in the XML-Twig module for Perl, allows context-dependent attackers to cause a denial of service (application crash) via an XML document with malformed UTF-8 sequences that trigger a buffer over-read, related to the doProlog function in lib/xmlparse.c, a different vulnerability than CVE-2009-2625 and CVE-2009-3720. |
|---|---|
| 公表日 | 2009年12月5日6:30 |
| 登録日 | 2021年1月29日13:24 |
| 最終更新日 | 2023年11月7日11:04 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:libexpat_project:libexpat:2.0.1:*:*:*:*:*:*:* | |||||
| 実行環境 | |||||
| 1 | cpe:2.3:a:xmltwig:xml-twig_for_perl:*:*:*:*:*:*:*:* | ||||
| 構成2 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:apache:http_server:*:*:*:*:*:*:*:* | 2.0.35 | 2.0.64 | |||
| cpe:2.3:a:apache:http_server:*:*:*:*:*:*:*:* | 2.2.0 | 2.2.17 | |||