Bulletin d'alerte Debian
DLA-1860-1 libxslt -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 22 juillet 2019
- Paquets concernés :
- libxslt
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 932321, Bogue 932320.
Dans le dictionnaire CVE du Mitre : CVE-2016-4609, CVE-2016-4610, CVE-2019-13117, CVE-2019-13118. - Plus de précisions :
-
Plusieurs vulnérabilités ont été trouvées dans la bibliothèque de traitement libxslt de XSLT 1.0.
- CVE-2016-4610
Accès mémoire non valable conduisant à un déni de service de exsltDynMapFunction. Libxslt permet à des attaquants distants de provoquer un déni de service (corruption de mémoire) ou éventuellement d’avoir un impact non précisé à l’aide de vecteurs inconnus.
- CVE-2016-4609
Lecture hors limites de xmlGetLineNoInternal(). Libxslt permet à des attaquants distants de provoquer un déni de service (corruption de mémoire) ou éventuellement d’avoir un impact non précisé à l’aide de vecteurs inconnus.
- CVE-2019-13117
Un xsl:number avec certaines chaînes de formatage pourrait conduire à une lecture non initialisée dans xsltNumberFormatInsertNumbers. Cela pourrait permettre à un attaquant de percevoir si un octet de la pile contient les caractères A, a, I, i ou 0, ou tout autre caractère.
- CVE-2019-13118
Une détermination de type groupant des caractères d’une instruction xsl:number était trop restreinte et une combinaison non valable caractères/longueur pourrait être passée à xsltNumberFormatDecimal, conduisant à une lecture de données de pile non initialisées.
Pour Debian 8
Jessie
, ces problèmes ont été corrigés dans la version 1.1.28-2+deb8u5.Nous vous recommandons de mettre à jour vos paquets libxslt.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2016-4610