NVD - CVE-2009-3560
状态:已延期
此CVE记录因资源或其他问题,未被NVD列为优先丰富内容的对象。
描述
Expat 2.0.1 版本中的 lib/xmltok.c 文件内的 big2_toUtf8 函数(用于Perl的XML-Twig模块的libexpat库中)允许上下文相关的攻击者通过包含畸形UTF-8序列的XML文档引发拒绝服务(应用程序崩溃)。这触发了缓冲区过度读取,并与 lib/xmlparse.c 中的 doProlog 函数相关。此漏洞不同于 CVE-2009-2625 和 CVE-2009-3720。
安全度量
CVSS 版本 4.0
- NVD 评估:尚未提供。
CVSS 版本 3.x
- NVD 评估:尚未提供。
CVSS 版本 2.0
- NIST: NVD
- 基础分数:5.0 MEDIUM
- 向量:(AV:N/AC:L/Au:N/C:N/I:N/A:P)
参考链接(公告、解决方案和工具)
(注意:选择这些链接将离开NIST网站。提供这些链接是因为它们可能包含您感兴趣的信息。不应因引用或未引用其他网站而做出任何推断。可能有其他网站更适合您的目的。NIST不一定认可这些站点表达的观点,或同意其陈述的事实。此外,NIST不认可这些站点可能提及的任何商业产品。请将有关此页面的评论发送至 nvd@nist.gov。)
| URL | 来源 | 标签 |
|---|---|---|
| http://expat.cvs.sourceforge.net/viewvc/expat/expat/lib/xmlparse.c?r1=1.164&r2=1.165 | CVE, Inc., Red Hat | Permissions Required |
| http://expat.cvs.sourceforge.net/viewvc/expat/expat/lib/xmlparse.c?view=log#rev1.165 | CVE, Inc., Red Hat | Broken Link |
| http://lists.opensuse.org/opensuse-security-announce/2010-01/msg00007.html | CVE, Inc., Red Hat | Third Party Advisory |
| … (中间大量参考链接,此处按原文结构保留列表,内容为各类安全公告、邮件列表、补丁链接等) … | ||
| https://www.redhat.com/archives/fedora-package-announce/2009-December/msg00413.html | CVE, Inc., Red Hat | Mailing List, Third Party Advisory |
弱点枚举
| CWE-ID | CWE 名称 | 来源 |
|---|---|---|
| CWE-119 | 内存缓冲区范围内操作的限制不当 | NIST |
已知受影响软件配置
配置 1
- cpe:2.3:a:libexpat_project:libexpat:2.0.1:*:*:*:*:*:*:*
- 运行于/与:cpe:2.3:a:xmltwig:xml-twig_for_perl:*:*:*:*:*:*:*:*
配置 2
- cpe:2.3:a:apache:http_server:*:*:*:*:*:*:*:*
- 从(含) 2.0.35 至(不含) 2.0.64
- cpe:2.3:a:apache:http_server:*:*:*:*:*:*:*:*
- 从(含) 2.2.0 至(不含) 2.2.17
我们是否遗漏了某个CPE?请告知我们。
变更历史 发现 14 条变更记录。
(此处包含详细的变更历史记录,列出了从2017年到2024年对CVE记录的多项修改,包括添加/移除参考链接、修改CPE配置、变更参考链接类型等。具体操作涉及NIST、CVE和Red Hat, Inc.等实体。)