Debians sikkerhedsbulletin

DSA-2417-1 libxml2 -- beregningsmæssigt lammelsesangreb

Rapporteret den:
22. feb 2012
Berørte pakker:
libxml2
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2012-0841.
Yderligere oplysninger:

Man opdagede, at den interne hashing-rutine i libxml2, et bibliotek indeholdende et omfattende API til håndtering af XML-data, var sårbart over for forudsigelige hash-kollisioner. Forudsat at en angriber med viden om hashing-algoritmen, var det muligt at fabrikere inddata, som oprettede en stor mængde kollisioner. Som følge heraf, var det muligt at gennemføre lammelsesangreb (denial of service) mod applikationer, som anvender libxml2-funktionalitet, på grund af det beregningsmæssige overhead.

I den stabile distribution (squeeze), er dette problem rettet i version 2.7.8.dfsg-2+squeeze3.

I distributionen testing (wheezy) og i den ustabile distributions (sid), vil dette problem snart blive løst.

Vi anbefaler at du opgraderer dine libxml2-pakker.