Nationaal Cyber Security Centrum - Ministerie van Veiligheid en Justitie

Beveiligingsadvies

Kansniveau is gemiddeld Schadeniveau is hoog NCSC-2016-0494 [1.09]

Kwetsbaarheden in libxml2 verholpen

27-09-2016 - Er bevinden zich meerdere kwetsbaarheden in libxml2.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.09 #############################

Titel           : Kwetsbaarheden in libxml2 verholpen
Advisory ID     : NCSC-2016-0494
Versie          : 1.09
Kans            : medium
CVE ID          : CVE-2015-8806, CVE-2016-1762, CVE-2016-1833,
                  CVE-2016-1834, CVE-2016-1835, CVE-2016-1836,
                  CVE-2016-1837, CVE-2016-1838, CVE-2016-1839,
                  CVE-2016-1840, CVE-2016-2073, CVE-2016-3627,
                  CVE-2016-3705, CVE-2016-4447, CVE-2016-4448,
                  CVE-2016-4449, CVE-2016-4483
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Denial-of-Service (DoS)
                  Remote code execution (Gebruikersrechten)
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20160927
Toepassing      : F5 BIG-IP (BigIP)
                  GNU libxml
                  IBM Security Access Manager (Tivoli)
Versie(s)       : 
Platform(s)     : Canonical Ubuntu Linux
                  CentOS CentOS
                  Debian Linux
                  FreeBSD FreeBSD
                  OpenSUSE OpenSUSE
                  RedHat Red Hat Desktop
                  RedHat Red Hat Enterprise Linux
                  RedHat Red Hat Linux
                  SuSE Linux Enterprise Desktop

Update
   IBM heeft updates van IBM Security Access Manager for Web
   beschikbaar gemaakt om de kwetsbaarheden met CVE-ID CVE-2016-3705,
   CVE-2016-3627, CVE-2016-4447, CVE-2016-4448 en CVE-2016-4449 te
   verhelpen. Zie "Mogelijke oplossingen" voor meer informatie. 

Samenvatting
   Er bevinden zich meerdere kwetsbaarheden in libxml2.

Gevolgen
   Een kwaadwillende kan de kwetsbaarheden mogelijk misbruiken voor het
   verkrijgen van gevoelige informatie, om een Denial-of-Service te
   veroorzaken of om willekeurige code uit te voeren met de rechten van
   de applicatie waarin de libxml2-library wordt gebruikt.

Beschrijving
   - CVE-2015-8806
   Een out-of-bounds-read-kwetsbaarheid in de
   htmlParseNameComplex-functie van libxml2 kan leiden tot een
   Denial-of-Service van de applicatie waarin de libxml2-library wordt
   gebruikt.
   
   - CVE-2016-1762, CVE-2016-1833, CVE-2016-1834, CVE-2016-1835,
   CVE-2016-1836, CVE-2016-1837, CVE-2016-1838, CVE-2016-1839,
   CVE-2016-1840
   Een memory-corruption-kwetsbaarheid in libxml2 kan leiden tot het
   uitvoeren van willekeurige code onder de rechten van de applicatie
   waarin de libxml2-library wordt gebruikt.
   
   - CVE-2016-2073
   Een out-of-bounds-read-kwetsbaarheid in de xmlDictLookup-functie van
   libxml2 kan leiden tot een Denial-of-Service van de applicatie
   waarin de libxml2-library wordt gebruikt.
   
   - CVE-2016-3627
   Een kwetsbaarheid in de xmlStringGetNodeList-functie van libxml2
   maakt het mogelijk om een Denial-of-Service te veroorzaken van de
   applicatie waarin de libxml2-library wordt gebruikt.
   
   - CVE-2016-3705
   Een kwetsbaarheid in de xmlParserEntityCheck-functie en
   xmlParseAttValueComplex-functie van libxml2 maakt het mogelijk om
   een Denial-of-Service te veroorzaken van de applicatie waarin de
   libxml2-library wordt gebruikt.
   
   - CVE-2016-4447
   Een heap-buffer-overflow-kwetsbaarheid in de xmlParseName-functie
   van libxml2 kan gebruikt worden om een Denial-of-Service te
   veroorzaken van de applicatie waarin de libxml2-library wordt
   gebruikt.
   
   - CVE-2016-4448
   Een Format-string-kwetsbaarheid kan gebruikt worden om een
   Denial-of-Service te veroorzaken van de applicatie waarin de
   libxml2-library wordt gebruikt.
   
   - CVE-2016-4449
   Een kwetsbaarheid in de wijze waarop libxml2 XML-documenten verwerkt
   kan mogelijk gebruikt worden voor het verkrijgen van gevoelige
   informatie.
   
   - CVE-2016-4483
   Een out-of-bounds-read-kwetsbaarheid in de
   xmlBufAttrSerializeTxtContent-functie van libxml2 kan gebruikt
   worden om een Denial-of-Service te veroorzaken van de applicatie
   waarin de libxml2-library wordt gebruikt.

Mogelijke oplossingen
   -= CentOS =-
   CentOS heeft updates beschikbaar gesteld voor CentOS 6 en 7 om de
   kwetsbaarheden te verhelpen. U kunt deze updates installeren met
   behulp van het commando 'yum'. Voor meer informatie en een eventueel
   handmatige installatie, zie:
   
   CentOS 6:
   https://lists.centos.org/pipermail/centos-announce/2016-June
      /021917.html
   
   CentOS 7:
   https://lists.centos.org/pipermail/centos-announce/2016-June
      /021929.html
   
   -= Debian =-
   Debian heeft updates van libxml2 beschikbaar gesteld voor Debian 8.0
   (Jessie) om de kwetsbaarheden te verhelpen. U kunt de aangepaste
   packages installeren door gebruik te maken van 'apt-get update' en
   'apt-get upgrade'. Meer informatie kunt u vinden op onderstaande
   pagina:
   
   https://www.debian.org/security/2016/dsa-3593
   
   -= IBM =-
   IBM heeft updates van libxml2 beschikbaar gesteld voor 
   IBM Security Access Manager for Web om de kwetsbaarheden met de
   kwetsbaarheid met CVE-ID CVE-2016-3705
   , CVE-2016-3627, CVE-2016-4447, CVE-2016-4448 en CVE-2016-4449 te
   verhelpen. Meer informatie kunt u vinden op onderstaande pagina:
   
   https://www-01.ibm.com/support/docview.wss?uid=swg21990838
   
   -= F5 =-
   F5 heeft bekend gemaakt dat BIG-IP kwetsbaar is voor de
   kwetsbaarheden met CVE-ID CVE-2016-3627 en CVE-2016-3705. Op dit
   moment zijn er geen updates beschikbaar die de kwetsbaarheden
   verhelpen. Zie voor meer informatie:
   
   https://support.f5.com/kb/en-us/solutions/public/k/54
      /sol54225343.html
   
   -= FreeBSD =-
   FreeBSD heeft updates beschikbaar gesteld om de kwetsbaarheden te
   verhelpen in libxml2, met uitzondering van de kwetsbaarheden met
   CVE-ID CVE-2016-2073 en CVE-2016-4447. U kunt deze updates
   installeren uit de FreeBSD ports. Meer informatie over deze updates
   vindt u op:
   
   http://www.vuxml.org/freebsd
      /e195679d-045b-4953-bb33-be0073ba2ac6.html
   
   -= OpenSUSE =-
   De ontwikkelaars van OpenSUSE hebben updates beschikbaar gesteld om
   de kwetsbaarheden te verhelpen in OpenSUSE 13.2 en Leap 42.1. U kunt
   deze aangepaste packages installeren door gebruik te maken van
   'zypper'. U kunt ook gebruik maken van YAST of de updates handmatig
   downloaden van de SUSE FTP-server (ftp.suse.com). Voor meer
   informatie, zie:
   
   OpenSUSE 13.2:
   https://lists.opensuse.org/opensuse-security-announce/2016-06
      /msg00025.html
   
   OpenSUSE LEAP 42.1:
   https://lists.opensuse.org/opensuse-security-announce/2016-06
      /msg00026.html
   
   -= Red Hat =-
   Red Hat heeft updates beschikbaar gesteld voor Red Hat Enterprise
   Linux 6 en 7. U kunt deze updates installeren met behulp van het
   commando 'yum'. Meer informatie over deze updates en over een
   eventueel handmatige installatie vindt u op:
   
   https://access.redhat.com/errata/RHSA-2016:1292
   
   -= SUSE =-
   SUSE heeft updates beschikbaar gesteld om de kwetsbaarheden te
   verhelpen in SUSE 11 en 12. U kunt deze aangepaste packages
   installeren door gebruik te maken van 'YaST'. U kunt de packages ook
   handmatig downloaden van de SUSE FTP-server (ftp.suse.com). Voor
   meer informatie, zie:
   
   SUSE 11:
   https://lists.opensuse.org/opensuse-security-announce/2016-06
      /msg00029.html
   
   SUSE 12:
   https://lists.opensuse.org/opensuse-security-announce/2016-06
      /msg00012.html
   
   -= Ubuntu =-
   Ubuntu heeft updates beschikbaar gesteld voor Ubuntu 12.04 LTS,
   14.04 LTS, 15.10 en 16.04 LTS om de kwetsbaarheden te verhelpen. U
   kunt de aangepaste packages installeren door gebruik te maken van
   'apt-get update' en 'apt-get upgrade'. Meer informatie kunt u vinden
   op onderstaande pagina:
   
   http://www.ubuntu.com/usn/usn-2994-1/

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8
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=Labs
-----END PGP SIGNATURE-----

Wat is het NCSC?

NCSCstill

CSBN 2017

CSBN 2017