发布日期：2004-02-12
更新日期：2004-03-02

受影响系统：

XMLSoft Libxml2 2.6.5
XMLSoft Libxml2 2.6.4
XMLSoft Libxml2 2.6.3
XMLSoft Libxml2 2.6.2
XMLSoft Libxml2 2.6.1
XMLSoft Libxml2 2.6.0

不受影响系统：

XMLSoft Libxml2 2.6.6

描述：

---

BUGTRAQ  ID: 9718
CVE(CAN) ID: CVE-2004-0110

libxml2是一款处理XML文件的库。

libxml2没有正确处理超长URL，远程攻击者可以利用这个漏洞使libxml2发生缓冲区溢出，精心构建URI数据可能以调用libxml2进程权限执行任意指令。

当通过FTP或HTTP抓取远程资源时，libxml2使用特殊的解析函数，这个函数如果处理超长URL时会发生缓冲区溢出，如果攻击者构建特殊的URI可能以调用libxml2库进程权限执行任意指令。

<*来源：Yuuichi Teranishi
  
  链接：https://www.redhat.com/support/errata/RHSA-2004-091.html
*>

建议：

---

厂商补丁：

RedHat
------
RedHat已经为此发布了一个安全公告（RHSA-2004:091-01）以及相应补丁:
RHSA-2004:091-01：Updated libxml2 packages fix security vulnerability
链接：https://www.redhat.com/support/errata/RHSA-2004-091.html

补丁下载：

Red Hat Linux 9:

SRPMS:
ftp://updates.redhat.com/9/en/os/SRPMS/libxml2-2.5.4-2.src.rpm

i386:
ftp://updates.redhat.com/9/en/os/i386/libxml2-2.5.4-2.i386.rpm
ftp://updates.redhat.com/9/en/os/i386/libxml2-devel-2.5.4-2.i386.rpm
ftp://updates.redhat.com/9/en/os/i386/libxml2-python-2.5.4-2.i386.rpm

XMLSoft
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

XMLSoft Upgrade Libxml 2.6.6
ftp://xmlsoft.org/

浏览次数：2982
严重程度：0（网友投票）