LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2022 / Informations sur la sécurité -- DLA-2972-1 libxml2

Bulletin d'alerte Debian

DLA-2972-1 libxml2 -- Mise à jour de sécurité pour LTS

Date du rapport :

8 avril 2022

Paquets concernés :

libxml2

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2016-9318, CVE-2017-5130, CVE-2017-5969, CVE-2017-16932, CVE-2022-23308.

Plus de précisions :

Cinq problèmes de sécurité ont été découverts dans libxml2, une boîte à outils et un analyseur XML en C.

• CVE-2016-9318

  Les versions vulnérables n'offrent pas d'étiquette indiquant directement que le document en cours peut être lu mais que d'autres fichiers ne peuvent pas être ouverts, ce qui facilite la conduite par des attaquants distants d'attaques d’injection d'entités externes XML (XXE) à l'aide d'un document contrefait.

• CVE-2017-5130

  Un dépassement d'entier dans le code de débogage de la mémoire permettait à un attaquant distant d'exploiter éventuellement une corruption de tas à l'aide d'un fichier XML contrefait.

• CVE-2017-5969

  L'analyseur en mode récupération permet à des attaquants distants de provoquer un déni de service (déréférencement de pointeur NULL) à l'aide d'un document XML contrefait.

• CVE-2017-16932

  Lors de l'expansion d'une entité de paramètre dans une DTD, une récursion infinie pouvait conduire à une boucle infinie ou à un épuisement de mémoire.

• CVE-2022-23308

  L'application qui valide le code XML en utilisant xmlTextReaderRead() avec XML_PARSE_DTDATTR et XML_PARSE_DTDVALID activés devient vulnérable à ce bogue d'utilisation de mémoire après libération. Ce problème peut avoir pour conséquence un déni de service.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 2.9.4+dfsg1-2.2+deb9u6.

Nous vous recommandons de mettre à jour vos paquets libxml2.

Pour disposer d'un état détaillé sur la sécurité de libxml2, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libxml2.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.