Рекомендация Debian по безопасности

DSA-2417-1 libxml2 -- отказ в обслуживании

Дата сообщения:
22.02.2012
Затронутые пакеты:
libxml2
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2012-0841.
Более подробная информация:

Было обнаружено, что внутренняя хэш-функция из libxml2, библиотеки, предоставляющей исчерпывающий API для обработки данных в формате XML, уязвима к предсказуемым конфликтам хэша. Учитывая, что злоумышленник знает хэширующий алгоритм, можно сформировать вводные данные так, чтобы они привели к созданию большого числа конфликтов. В результате можно вызвать отказ в обслуживании в приложении, использующем возможности libxml2, в связи с ограничениями вычислительных ресурсов.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 2.7.8.dfsg-2+squeeze3.

В тестируемом (wheezy) и нестабильном (sid) выпусках эта проблема будет исправлена позже.

Рекомендуется обновить пакеты libxml2.