检测

FreeBSD:raptor/raptor2 -- RDF/XML 文件解释中的 XXE (60f81af3-7690-11e1-9423-00235a5f2c9a)

medium Nessus 插件 ID 58472

语言:

简介

远程 FreeBSD 主机缺少一个或多个与安全有关的更新。

描述

Timothy D. Morgan 报告:

2011 年 12 月,VSR 确定了多种开源办公产品(包括 OpenOffice、LibreOffice、KOffice 和 AbiWord)中的一个漏洞,原因是未以安全方式解释具有自定义实体声明的 XML 文件。更深入的分析显示该漏洞由 libraptor 库对外部实体的接受造成,该库被 librdf 使用,反过来被这些办公产品使用。

在办公应用程序的上下文中,这些漏洞可允许 XML 外部实体 (XXE) 攻击,从而在打开潜在恶意 ODF 文档时导致文件被窃和用户隐私丢失。对于其他依赖于 librdf 或 libraptor 的应用程序,潜在严重后果可产生于接受来自不受信任源的 RDF/XML 内容,但影响可能根据上下文而存在很大的差异。

解决方案

更新受影响的程序包。

另见

https://seclists.org/fulldisclosure/2012/Mar/281

http://www.vsecurity.com/resources/advisory/20120324-1/

http://www.nessus.org/u?5069b9d1

插件详情

严重性: Medium

ID: 58472

文件名: freebsd_pkg_60f81af3769011e1942300235a5f2c9a.nasl

版本: 1.8

类型: local

发布时间: 2012/3/26

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 4.4

CVSS v2

风险因素: Medium

基本分数: 4.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

漏洞信息

CPE: p-cpe:/a:freebsd:freebsd:raptor, p-cpe:/a:freebsd:freebsd:raptor2, cpe:/o:freebsd:freebsd

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2012/3/25

漏洞发布日期: 2012/3/24

参考资料信息

CVE: CVE-2012-0037