Bulletin d'alerte Debian

DLA-355-1 libxml2 -- Mise à jour de sécurité pour LTS

Date du rapport :
29 novembre 2015
Paquets concernés :
libxml2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 806384.
Dans le dictionnaire CVE du Mitre : CVE-2015-8241, CVE-2015-8317.
Plus de précisions :
  • CVE-2015-8241

    Une lecture hors limites de tampon avec l'analyseur XML dans xmlNextChar.

  • CVE-2015-8317
    • Problèmes dans la fonction xmlParseXMLDecl : si la conversion du flux d'entrée actuel échoue pendant le traitement de la déclaration d'encodage de XMLDecl, il est alors plus sûr d'arrêter là seulement et de ne pas essayer de rapporter d'autres erreurs.
    • Si la chaîne ne se termine pas correctement, il ne faut pas tenter la conversion à l'encodage donné.

Correctif supplémentaire pour une erreur de décalage unitaire dans le correctif précédent pour CVE-2015-7942 (merci à Salvatore pour avoir détecté ce problème).