BUGTRAQ ID: 31555
CVE(CAN) ID: CVE-2008-4409
libxml2软件包提供允许用户操控XML文件的函数库,包含有读、修改和写XML和HTML文件支持。
libxml2没有正确地处理实体中的预定义实体定义,如果用户受骗打开了恶意的XML文件的话,就可能导致耗尽所有内存,应用程序会崩溃。
Gentoo已经为此发布了一个安全公告(GLSA-200812-06)以及相应补丁:
GLSA-200812-06:libxml2: Multiple vulnerabilities
链接:<a href=“http://security.gentoo.org/glsa/glsa-200812-06.xml” target=“_blank”>http://security.gentoo.org/glsa/glsa-200812-06.xml</a>
所有libxml2用户都应升级到最新版本:
# emerge --sync
# emerge --ask --oneshot --verbose ">=dev-libs/libxml2-2.7.2-r1"
<?xml version='1.0' ?>
<!DOCTYPE test [
<!ENTITY ampproblem '&amp;'>
]>
<t a="&ampproblem;">a</t>