Bulletin d'alerte Debian

DLA-266-1 libxml2 -- Mise à jour de sécurité pour LTS

Date du rapport :
3 juillet 2015
Paquets concernés :
libxml2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-1819.
Plus de précisions :

Cet envoi pour Debian Squeeze-lts corrige trois problèmes découverts dans le paquet libxml2.

(1) CVE-2015-1819 / #782782

Florian Weimer de Red Hat a signalé un problème à l'encontre de libxml2, où un analyseur utilisant libxml2 s'étouffe avec un document XML contrefait, allouant des gigaoctets de données. C'est un problème à la limite entre une mauvaise utilisation d'une API et un bogue dans libxml2. Il a été traité dans l'amont de libxml2 et le correctif a été rétroporté pour libxml2 dans Squeeze-lts.

(2) #782985

Jun Kokatsu a signalé un accès mémoire hors limites dans libxml2. En entrant dans un commentaire HTML non clos, l'analyseur libxml2 n'arrêtait pas son analyse à la fin du tampon, provoquant l'inclusion de mémoire aléatoire dans le commentaire analysé renvoyé à l'application qui l'appelle.

Dans l'application Shopify (dans laquelle le problème a été découvert à l'origine), cela provoque la divulgation d'objets Ruby provenant de requêtes http précédentes dans la page affichée.

(3) #783010

Michal Zalewski a signalé un autre problème de lecture hors limites dans libxml2 qui ne provoque pas de plantages mais pourrait être détecté avec ASAN ou Valgrind.