Debian セキュリティ勧告

DLA-80-1 libxml2 -- LTS セキュリティ更新

報告日時:

2014-10-29

影響を受けるパッケージ:

libxml2

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2014-0191, CVE-2014-3660.

詳細:

Sogeti さんが XML 及び HTML ファイルを読み書き、変更する機能を提供するライブラリ libxml2 にサービス拒否の欠陥を発見しました。リモートの攻撃者が特別に細工した XML ファイルを提供し、libxml2 を利用しているアプリケーションによって処理させることで、エンティティ置換が無効に設定されていても過剰なエンティティ置換が元となり、過剰な CPU 消費 (サービス拒否) につながります。これはパーサのデフォルトの挙動です (CVE-2014-3660)。

さらに、この更新では前のバージョン (#762864) でリリースされ、誤って適用されたパッチ群に対処しています。

Debian 6Squeezeでは、この問題は libxml2 バージョン 2.7.8.dfsg-2+squeeze10 で修正されています。