LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2020 / Informations sur la sécurité -- DLA-2369-1 libxml2

Bulletin d'alerte Debian

DLA-2369-1 libxml2 -- Mise à jour de sécurité pour LTS

Date du rapport :

10 septembre 2020

Paquets concernés :

libxml2

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 895245, Bogue 862450, Bogue 949583, Bogue 969529, Bogue 949582.
Dans le dictionnaire CVE du Mitre : CVE-2017-8872, CVE-2017-18258, CVE-2018-14404, CVE-2018-14567, CVE-2019-19956, CVE-2019-20388, CVE-2020-7595, CVE-2020-24977.

Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été corrigées dans libxml2, la bibliothèque XML de GNOME.

• CVE-2017-8872

  Dépassement général de tampon dans la fonction htmlParseTryOrFinish.

• CVE-2017-18258

  La fonction xz_head dans libxml2 permet à des attaquants distants de provoquer un déni de service (consommation de mémoire) à l'aide d'un fichier LZMA contrefait, car la fonction décodeur ne restreint pas l’utilisation de la mémoire à ce qui est nécessaire pour un fichier valable.

• CVE-2018-14404

  Une vulnérabilité de déréférencement de pointeur NULL existe dans la fonction xpath.c:xmlXPathCompOpEval() de libxml2 lors de l’analyse d’une expression XPath non valable dans les conditions XPATH_OP_AND ou XPATH_OP_OR. Les applications traitant des entrées au format XSL non approuvées pourraient être vulnérables à une attaque par déni de service.

• CVE-2018-14567

  Si l’option --with-lzma est utilisée, cela permet à des attaquants distants de provoquer un déni de service (boucle infinie) à l'aide d'un fichier XML contrefait.

• CVE-2019-19956

  La fonction xmlParseBalancedChunkMemoryRecover possède une fuite de mémoire concernant newDoc->oldNs.

• CVE-2019-20388

  Une fuite de mémoire a été découverte dans la fonction xmlSchemaValidateStream de libxml2. Les applications qui utilisent cette bibliothèque pourraient être vulnérables à une non liberation de mémoire conduisant à un déni de service.

• CVE-2020-7595

  Une boucle infinie dans xmlStringLenDecodeEntities peut provoquer un déni de service.

• CVE-2020-24977

  Lecture hors limites ne concernant que xmllint --htmlout.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 2.9.4+dfsg1-2.2+deb9u3.

Nous vous recommandons de mettre à jour vos paquets libxml2.

Pour disposer d'un état détaillé sur la sécurité de libxml2, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libxml2.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.