Porada dotycząca bezpieczeństwa Debiana

DSA-455-1 libxml -- przepełnienie bufora

Data Zgłoszenia:

03.03.2004

Narażone Pakiety:

libxml, libxml2

Podatny:

Tak

Odnośniki do baz danych na temat bezpieczeństwa:

Baza danych Bugtraq (SecurityFocus): Nr BugTraq 9718.
W słowniku CVE Mitre-a CVE-2004-0110.

Więcej informacji:

libxml2 jest biblioteką do manipulowania plikami XML.

Yuuichi Teranishi (寺西裕一) odkrył usterkę w libxml, bibliotece GNOME XML. Pobierając ze zdalnych źródeł poprzez FTP lub HTTP, biblioteka używa specjalnej procedury parsującej, która może spowodować przepełnienie bufora jeśli zostanie podany bardzo długi URL. Jeśli atakujący potrafi znaleźć aplikację używającą libxml1 lub libxml2, która parsuje źródła zewnętrzne oraz pozwoli atakującemu na wysłanie spreparowanego URL, to usterka ta może zostać użyta do uruchomienia własnego kodu.

W dystrybucji stabilnej (woody) powyższy problem został wyeliminowany w wersji 1.8.17-2woody1 dla biblioteki libxml i w wersji 2.4.19-4woody1 dla biblioteki libxml2.

W dystrybucji stabilnej (woody) powyższy problem został wyeliminowany w wersji 1.8.17-5 dla biblioteki libxml i w wersji 2.6.6-1 dla biblioteki libxml2.

Zalecamy aktualizację pakietów libxml1 oraz libxml2.

Naprawiony w:

Debian GNU/Linux 3.0 (woody)

Źródło:: http://security.debian.org/pool/updates/main/libx/libxml/libxml_1.8.17-2woody1.dsc; http://security.debian.org/pool/updates/main/libx/libxml/libxml_1.8.17-2woody1.diff.gz; http://security.debian.org/pool/updates/main/libx/libxml/libxml_1.8.17.orig.tar.gz; http://security.debian.org/pool/updates/main/libx/libxml2/libxml2_2.4.19-4woody1.dsc; http://security.debian.org/pool/updates/main/libx/libxml2/libxml2_2.4.19-4woody1.diff.gz; http://security.debian.org/pool/updates/main/libx/libxml2/libxml2_2.4.19.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-2woody1_alpha.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-2woody1_alpha.deb; http://security.debian.org/pool/updates/main/libx/libxml2/libxml2_2.4.19-4woody1_alpha.deb; http://security.debian.org/pool/updates/main/libx/libxml2/libxml2-dev_2.4.19-4woody1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-2woody1_arm.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-2woody1_arm.deb; http://security.debian.org/pool/updates/main/libx/libxml2/libxml2_2.4.19-4woody1_arm.deb; http://security.debian.org/pool/updates/main/libx/libxml2/libxml2-dev_2.4.19-4woody1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-2woody1_i386.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-2woody1_i386.deb; http://security.debian.org/pool/updates/main/libx/libxml2/libxml2_2.4.19-4woody1_i386.deb; http://security.debian.org/pool/updates/main/libx/libxml2/libxml2-dev_2.4.19-4woody1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-2woody1_ia64.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-2woody1_ia64.deb; http://security.debian.org/pool/updates/main/libx/libxml2/libxml2_2.4.19-4woody1_ia64.deb; http://security.debian.org/pool/updates/main/libx/libxml2/libxml2-dev_2.4.19-4woody1_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-2woody1_hppa.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-2woody1_hppa.deb; http://security.debian.org/pool/updates/main/libx/libxml2/libxml2_2.4.19-4woody1_hppa.deb; http://security.debian.org/pool/updates/main/libx/libxml2/libxml2-dev_2.4.19-4woody1_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-2woody1_m68k.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-2woody1_m68k.deb; http://security.debian.org/pool/updates/main/libx/libxml2/libxml2_2.4.19-4woody1_m68k.deb; http://security.debian.org/pool/updates/main/libx/libxml2/libxml2-dev_2.4.19-4woody1_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-2woody1_mips.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-2woody1_mips.deb; http://security.debian.org/pool/updates/main/libx/libxml2/libxml2_2.4.19-4woody1_mips.deb; http://security.debian.org/pool/updates/main/libx/libxml2/libxml2-dev_2.4.19-4woody1_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-2woody1_mipsel.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-2woody1_mipsel.deb; http://security.debian.org/pool/updates/main/libx/libxml2/libxml2_2.4.19-4woody1_mipsel.deb; http://security.debian.org/pool/updates/main/libx/libxml2/libxml2-dev_2.4.19-4woody1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-2woody1_powerpc.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-2woody1_powerpc.deb; http://security.debian.org/pool/updates/main/libx/libxml2/libxml2_2.4.19-4woody1_powerpc.deb; http://security.debian.org/pool/updates/main/libx/libxml2/libxml2-dev_2.4.19-4woody1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-2woody1_s390.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-2woody1_s390.deb; http://security.debian.org/pool/updates/main/libx/libxml2/libxml2_2.4.19-4woody1_s390.deb; http://security.debian.org/pool/updates/main/libx/libxml2/libxml2-dev_2.4.19-4woody1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-2woody1_sparc.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-2woody1_sparc.deb; http://security.debian.org/pool/updates/main/libx/libxml2/libxml2_2.4.19-4woody1_sparc.deb; http://security.debian.org/pool/updates/main/libx/libxml2/libxml2-dev_2.4.19-4woody1_sparc.deb

Sumy kontrolne MD5 wymienionych plików dostępne są w oryginalnej poradzie.