Debian セキュリティ勧告

DSA-2417-1 libxml2 -- 計算負荷増加によるサービス拒否攻撃

報告日時:
2012-02-22
影響を受けるパッケージ:
libxml2
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2012-0841.
詳細:

XML データを処理するための多機能ライブラリ libxml2 の内部ハッシュルー チンに、ハッシュ衝突を予測できるという欠陥が発見されました。ハッシュ アルゴリズムに対する知識をもつ攻撃者は、多数の衝突を起こすような入力 を作成可能で、その結果計算負荷増大により libxml2 を用いたアプリケーシ ョンに対するサービス拒否攻撃を実行可能です。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 2.7.8.dfsg-2+squeeze3 で修正されています。

テスト版 (wheezy) および不安定版 (unstable) ディストリビューションで は、この問題は近く修正予定です。

直ぐに libxml2 パッケージをアップグレードすることを勧めます。