Vigil@nce - libxslt : déni de service via DTD
novembre 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut créer un document XSL illicite, afin de mener un
déni de service sur les applications liées à libxslt.
Produits concernés : Unix (plateforme)
Gravité : 2/4
Date création : 06/11/2013
DESCRIPTION DE LA VULNÉRABILITÉ
La bibliothèque libxslt gère les transformations XSLT à appliquer
sur un document XML.
Un document XSL peut contenir une DTD. Cependant, durant
l’analyse, la fonction xsltParseTemplateContent() ne gère pas
correctement les noeuds XML, ce qui provoque une erreur fatale.
Un attaquant peut donc créer un document XSL illicite, afin de
mener un déni de service sur les applications liées à libxslt.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/libxslt-deni-de-service-via-DTD-13712