libxml2 xmlStringLenDecodeEntities函数XML外部实体漏洞（CVE-2016-4449）

libxml2 xmlStringLenDecodeEntities函数XML外部实体漏洞（CVE-2016-4449）
发布日期：2016-06-10
更新日期：2016-06-12

受影响系统：

libxml libxml2 〈 2.9.4

描述：

CVE（CAN） ID: CVE-2016-4449

libxml2是XML解析程序和标记工具集。

libxml2 2.9.4之前版本，parser.c/xmlStringLenDecodeEntities函数存在XML外部实体漏洞，不在验证模式时，可使上下文独立的攻击者读取任意文件或造成拒绝服务。

<*来源：libxml2

*>

建议：

厂商补丁：

libxml
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://xmlsoft.org/news.html

参考：

https://git.gnome.org/browse/libxml2/commit/？id=b1d34de46a11323fccffa9fadeb33be670d602f5
http://www.ubuntu.com/usn/USN-2994-1
https://www.debian.org/security/2016/dsa-3593