製品・ソフトウェアに関する情報

JVN脆弱性詳細

Google Chrome などで利用される xsltGenerateIdFunction 関数における重要な情報を取得される脆弱性

タイトル	Google Chrome などで利用される xsltGenerateIdFunction 関数における重要な情報を取得される脆弱性
概要	Google Chrome および他の製品で使用される libxslt の xsltGenerateIdFunction 関数には、ヒープメモリアドレスについての重要な情報を取得される脆弱性が存在します。
想定される影響	第三者により、 XSLT generate-id XPath 機能の呼び出しを含む XML ドキュメントを介して、ヒープメモリアドレスについての重要な情報を取得される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2011年3月8日0:00
登録日	2011年5月23日10:23
最終更新日	2013年3月8日13:50

CVSS2.0 : 警告
スコア	5
ベクター	AV:N/AC:L/Au:N/C:P/I:N/A:N

影響を受けるシステム

レッドハット

Red Hat Enterprise Linux 4 (as)

Red Hat Enterprise Linux 4 (es)

Red Hat Enterprise Linux 4 (ws)

Red Hat Enterprise Linux 4.8 (as)

Red Hat Enterprise Linux 4.8 (es)

Red Hat Enterprise Linux 5 (server)

Red Hat Enterprise Linux Desktop 4.0

Red Hat Enterprise Linux Desktop 5.0 (client)

Red Hat Enterprise Linux Desktop 6

Red Hat Enterprise Linux EUS 5.6.z (server)

Red Hat Enterprise Linux HPC Node 6

Red Hat Enterprise Linux Long Life (v. 5.6 server)

Red Hat Enterprise Linux Server 6

Red Hat Enterprise Linux Workstation 6

RHEL Desktop Workstation 5 (client)

Mozilla Foundation

Mozilla Firefox 3.5.19 未満

Mozilla Firefox 3.6.17 未満

Mozilla Firefox 4.0.1 未満

Mozilla SeaMonkey 2.0.14 未満

サイバートラスト株式会社

Asianux Server 3 (x86)

Asianux Server 3 (x86-64)

Asianux Server 4.0

Asianux Server 4.0 (x86-64)

Google

Google Chrome 10.0.648.127 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2011-1202	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1202
National Vulnerability Database (NVD)
2	CVE-2011-1202	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-1202

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-noinfo	https://www.ipa.go.jp/security/vuln/CWE.html#CWEnoinfo

ベンダー情報

No	名前	URL
Asianux Technical Support Network
1	firefox-3.6.17-1.0.1.AXS3, xulrunner-1.9.2.17-3.0.1.AXS3	https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=1441
Google
2	Chrome Stable Release	http://googlechromereleases.blogspot.com/2011/03/chrome-stable-release.html
3	Google Chrome	http://www.google.co.jp/chrome/intl/ja/landing_ff_yt.html?hl=ja&hl=ja
MIRACLE LINUX アップデート情報
4	2220	http://www.miraclelinux.com/support/index.php?q=node/99&errata_id=2220
Mozilla Foundation Security Advisory
5	mfsa2011-18	http://www.mozilla.org/security/announce/2011/mfsa2011-18.html
Mozilla Foundation セキュリティアドバイザリ
6	mfsa2011-18	http://www.mozilla-japan.org/security/announce/2011/mfsa2011-18.html
Red Hat Security Advisory
7	RHSA-2011:0471	https://rhn.redhat.com/errata/RHSA-2011-0471.html
SECURITY BLOG
8	Multiple vulnerabilities in libxslt	https://blogs.oracle.com/sunsecurity/entry/multiple_vulnerabilities_in_libxslt

その他

No	名前	URL
ISS X-Force Database
1	65966	http://xforce.iss.net/xforce/xfdb/65966
Secunia Advisory
2	SA44357	http://secunia.com/advisories/44357
3	SA44406	http://secunia.com/advisories/44406
SecurityFocus
4	47668	http://www.securityfocus.com/bid/47668
VUPEN Security
5	VUPEN/ADV-2011-0628	http://www.vupen.com/english/advisories/2011/0628
6	VUPEN/ADV-2011-1127	http://www.vupen.com/english/advisories/2011/1127

変更履歴

No	変更内容	変更日
0	[2011年05月23日] 掲載 [2011年06月06日] 影響を受けるシステム：ミラクル・リナックス (firefox-3.6.17-1.0.1.AXS3, xulrunner-1.9.2.17-3.0.1.AXS3) の情報を追加影響を受けるシステム：ミラクル・リナックス (2220) の情報を追加ベンダ情報：ミラクル・リナックス (firefox-3.6.17-1.0.1.AXS3, xulrunner-1.9.2.17-3.0.1.AXS3) を追加ベンダ情報：ミラクル・リナックス (2220) を追加 [2013年03月08日] ベンダ情報：オラクル (Multiple vulnerabilities in libxslt) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2011-1202

概要	The xsltGenerateIdFunction function in functions.c in libxslt 1.1.26 and earlier, as used in Google Chrome before 10.0.648.127 and other products, allows remote attackers to obtain potentially sensitive information about heap memory addresses via an XML document containing a call to the XSLT generate-id XPath function.
公表日	2011年3月11日11:01
登録日	2021年1月28日16:38
最終更新日	2024年11月21日10:25

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:xmlsoft:libxslt::::::::		1.1.26
cpe:2.3:a:google:chrome::::::::				10.0.648.127

関連情報、対策とツール

No	URL	タグ
1	http://code.google.com/p/chromium/issues/detail?id=73716	Exploit Issue Tracking Patch Vendor Advisory
2	http://downloads.avaya.com/css/P8/documents/100144158	Third Party Advisory
3	http://git.gnome.org/browse/libxslt/commit/?id=ecb6bcb8d1b7e44842edde3929f412d46b40c89f	Patch Third Party Advisory
4	http://googlechromereleases.blogspot.com/2011/03/chrome-stable-release.html	Vendor Advisory
5	http://scarybeastsecurity.blogspot.com/2011/03/multi-browser-heap-address-leak-in-xslt.html	Third Party Advisory
6	http://www.mandriva.com/security/advisories?name=MDVSA-2011:079	Third Party Advisory
7	http://www.mandriva.com/security/advisories?name=MDVSA-2012:164	Third Party Advisory
8	http://www.securityfocus.com/bid/46785	Third Party Advisory VDB Entry
9	http://www.vupen.com/english/advisories/2011/0628	Permissions Required
10	https://bugzilla.redhat.com/show_bug.cgi?id=684386	Issue Tracking Third Party Advisory
11	https://exchange.xforce.ibmcloud.com/vulnerabilities/65966	Third Party Advisory VDB Entry
12	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A14244	Third Party Advisory
13	http://code.google.com/p/chromium/issues/detail?id=73716	Exploit Issue Tracking Patch Vendor Advisory
14	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A14244	Third Party Advisory
15	https://exchange.xforce.ibmcloud.com/vulnerabilities/65966	Third Party Advisory VDB Entry
16	https://bugzilla.redhat.com/show_bug.cgi?id=684386	Issue Tracking Third Party Advisory
17	http://www.vupen.com/english/advisories/2011/0628	Permissions Required
18	http://www.securityfocus.com/bid/46785	Third Party Advisory VDB Entry
19	http://www.mandriva.com/security/advisories?name=MDVSA-2012:164	Third Party Advisory
20	http://www.mandriva.com/security/advisories?name=MDVSA-2011:079	Third Party Advisory
21	http://scarybeastsecurity.blogspot.com/2011/03/multi-browser-heap-address-leak-in-xslt.html	Third Party Advisory
22	http://googlechromereleases.blogspot.com/2011/03/chrome-stable-release.html	Vendor Advisory
23	http://git.gnome.org/browse/libxslt/commit/?id=ecb6bcb8d1b7e44842edde3929f412d46b40c89f	Patch Third Party Advisory
24	http://downloads.avaya.com/css/P8/documents/100144158	Third Party Advisory

共通脆弱性一覧