Bulletin d'alerte Debian

DSA-2417-1 libxml2 -- Déni de service dû au calcul

Date du rapport :
22 février 2012
Paquets concernés :
libxml2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-0841.
Plus de précisions :

La routine de hachage interne de la bibliothèque libxml2, qui fournit une interface de programmation (API) étendue pour gérer des données XML, est vulnérable aux collisions de hachages prévisibles. Un attaquant ayant connaissance de l'algorithme de hachage peut contrefaire l'entrée en créant un grand nombre de collisions. Par conséquent, il est possible de réaliser des attaques par déni de service sur des applications qui utilisent la fonctionnalité de la bibliothèque libxml2 à cause du temps de calcul excessif.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.7.8.dfsg-2+squeeze3.

Pour les distributions testing (Wheezy) et unstable (Sid), ce problème sera corrigé prochainement.

Nous vous recommandons de mettre à jour vos paquets libxml2.