Рекомендация Debian по безопасности

DLA-80-1 libxml2 -- обновление безопасности LTS

Дата сообщения:
29.10.2014
Затронутые пакеты:
libxml2
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-0191, CVE-2014-3660.
Более подробная информация:

Сотрудники Sogeti обнаружили отказ в обслуживании в libxml2, библиотеке, предоставляющей поддержку чтения, изменения и записи файлов XML и HTML. Удалённый злоумышленник может передать специально сформированный файл XML, который при его обработке приложением, использующим libxml2, может привести к чрезмерному потреблению ресурсов ЦП (отказ в обслуживании) из-за излишней подстановки сущностей даже в том случае, если подстановка сущностей отключена, что является поведением по умолчанию. (CVE-2014-3660)

Кроме того, данное обновление исправляет неправильно применённую порцию заплаты, выпущенной в предыдущей версии (#762864).

В Debian 6 Squeeze эти проблемы были исправлены в пакете libxml2 версии 2.7.8.dfsg-2+squeeze10