Рекомендация Debian по безопасности

DLA-151-1 libxml2 -- обновление безопасности LTS

Дата сообщения:
07.02.2015
Затронутые пакеты:
libxml2
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 768089.
В каталоге Mitre CVE: CVE-2014-0191, CVE-2014-3660.
Более подробная информация:

Было обнаружено, что обновление, выпущенное для libxml2 в DSA 2978 и исправляющее CVE-2014-0191, неполно. Это приводит к тому, что libxml2 всё ещё загружает внешние сущности, независимо от того, включена подстановка сущностей или соответствующая проверка или нет.

Кроме того, данное обновление исправляет регресс, возникший после DSA 3057 из-за заплаты, исправляющей CVE-2014-3660. Этот регресс приводит к тому, что libxml2 не выполняет грамматический разбор сущности, когда она впервые используется в другой сущности путём указания из значения атрибута.

В Debian 6 Squeeze эти проблемы были исправлены в libxml2 версии 2.7.8.dfsg-2+squeeze11