Bulletin d'alerte Debian

DLA-151-1 libxml2 -- Mise à jour de sécurité pour LTS

Date du rapport :
7 février 2015
Paquets concernés :
libxml2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 768089.
Dans le dictionnaire CVE du Mitre : CVE-2014-0191, CVE-2014-3660.
Plus de précisions :

La mise à jour publiée pour libxml2 dans DSA-2978 corrigeant CVE-2014-0191 était incomplète. Cela entrainait libxml2 à encore télécharger des entités externes indépendamment du fait que la substitution ou la validation d'entité est activée ou non.

En complément, cette mise à jour corrige une régression introduite dans DSA-3057 par le correctif de CVE-2014-3660. Cela entrainait libxml2 à ne pas analyser une entité quand elle est d'abord utilisée dans une entité référencée à partir d'une valeur d'attribut.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans libxml2 version 2.7.8.dfsg-2+squeeze11