发布日期：2011-05-31
更新日期：2012-09-25

受影响系统：

libxml Libxml 2.x

描述：

---

BUGTRAQ  ID: 48056
CVE ID: CVE-2011-1944

libxml软件包提供允许用户操控XML文件的函数库，包含有读、修改和写XML和HTML文件支持。

libxml2在处理无效XPath时存在多个内存破坏漏洞，远程攻击者可利用此漏洞通过受影响库在应用程序中执行任意代码，造成拒绝服务。

<*来源：Chris Evans （chris@ferret.lmh.ox.ac.uk）
  
  链接：http://git.gnome.org/browse/libxml2/commit/?id=d7958b21e7f8c447a26bb2436f08402b2c308be4
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

//@*/preceding::node()/ancestor::node()/ancestor::foo['foo']

建议：

---

厂商补丁：

libxml
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.xmlsoft.org/index.html

浏览次数：2379
严重程度：0（网友投票）