Bulletin d'alerte Debian

DSA-3952-1 libxml2 -- Mise à jour de sécurité

Date du rapport :
23 août 2017
Paquets concernés :
libxml2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 863018, Bogue 863019, Bogue 863021, Bogue 863022, Bogue 870865, Bogue 870867, Bogue 870870.
Dans le dictionnaire CVE du Mitre : CVE-2017-0663, CVE-2017-7375, CVE-2017-7376, CVE-2017-9047, CVE-2017-9048, CVE-2017-9049, CVE-2017-9050.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans libxml2, une bibliothèque permettant de lire, modifier et écrire des fichiers XML et HTML. Un attaquant distant pourrait fournir un fichier XML ou HTML contrefait pour l'occasion qui, lors de son traitement par une application utilisant libxml2, pourrait provoquer un déni de service à l'encontre de l'application, des fuites d'informations, ou éventuellement, l'exécution de code arbitraire avec les droits de l'utilisateur de l'application.

Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 2.9.1+dfsg1-5+deb8u5.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 2.9.4+dfsg1-2.2+deb9u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.9.4+dfsg1-3.1.

Nous vous recommandons de mettre à jour vos paquets libxml2.