Bulletin d'alerte Debian

DSA-3493-1 xerces-c -- Mise à jour de sécurité

Date du rapport :
25 février 2016
Paquets concernés :
xerces-c
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 815907.
Dans le dictionnaire CVE du Mitre : CVE-2016-0729.
Plus de précisions :

Gustavo Grieco a découvert que xerces-c, une bibliothèque d'analyse et de validation de XML pour C++, ne gère pas correctement certains types de documents d'entrée malformés, menant à des dépassements de tampon pendant le traitement et à un rapport d'erreur. Ces défauts pourraient conduire à un déni de service dans les applications utilisant la bibliothèque xerces-c ou, éventuellement, à l'exécution de code arbitraire.

Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 3.1.1-3+deb7u2.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 3.1.1-5.1+deb8u1.

Nous vous recommandons de mettre à jour vos paquets xerces-c.