Kwetsbaarheid ontdekt in libxml2

Op dit moment is er sprake van een kwetsbaarheid in libxml2 waar nog geen oplossing of upgrade van voorhanden is. Het gaat hierbij om een variant van een in 2003 reeds gepubliceerde kwetsbaarheid. Libxml2 wordt gebruikt door professionele gebruikers. De kwetsbaarheid betreft de beschikbaarheid van digitale diensten en richt zich niet op de vertrouwelijkheid van gegevens.

Deze kwetsbaarheid kwam aan het licht tijdens een reguliere veiligheidstest door Sogeti in opdracht van Logius. Deze kwetsbaarheid is voor de systemen van Logius inmiddels opgelost door het doorvoeren van mitigerende maatregelen. Deze ontdekte kwetsbaarheid is door Logius en de betrokken veiligheidsonderzoekers bij het NCSC gemeld.

Full disclosure

Het NCSC heeft hierop in het kader van responsible disclosure, het op een verantwoorde wijze openbaar maken van kwetsbaarheden, contact gezocht met de ontwikkelaars van Libxml2 om zo tot een oplossing of verbetering in Libxml2 om het risico voor gebruikers zo veel als mogelijk te beperken.

Op dit moment heeft de ontwikkelaar van libxml2 er voor gekozen om de kwetsbaarheid publiekelijk bekend te maken en heeft daartoe een oplossing aan leveranciers van software ter beschikking gesteld. Op basis hiervan kunnen leveranciers een voor hun software specifieke oplossing voor de kwetsbaarheid ontwikkelen. Deze gerichte oplossing van leveranciers is helaas nog niet beschikbaar.

Het NCSC betreurt het dat de ontwikkelaar er voor heeft gekozen, bewust of onbewust, om de kwetsbaarheid openbaar te maken zonder dat een gerichte oplossing van leveranciers beschikbaar is. Het NCSC had dit conform de door haar gewenste praktijk van responsible disclosure geprefereerd.

Het NCSC volgt de situatie nauwgezet en blijft in contact met de betrokken partijen, waaronder in belangrijke mate software leveranciers, om zo spoedig mogelijk toe te werken naar een gerichte oplossing. Door het NCSC is nog geen actief misbruik van deze kwetsbaarheid gesignaleerd.

Wat is het NCSC?

CSBN 2018

Nederland digitaal veilig