Debians sikkerhedsbulletin

DSA-2394-1 libxml2 -- flere sårbarheder

Rapporteret den:

27. jan 2012

Berørte pakker:

Sårbar:

Referencer i sikkerhedsdatabaser:

Yderligere oplysninger:

Mange sikkerhedsproblemer er rettet i libxml2, et populært bibliotek til håndtering af XML-datafiler.

CVE-2011-3919:
Jüri Aedla opdagede et heap-baseret bufferoverløb, der gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (denial of service) eller muligvis have anden ikke-angivet indvirkning via ukendte angrebsvinkler.
CVE-2011-0216:
Der blev opdaget en forskudt med en-fejl, som gjorde det muligt for fjernangribere at udføre vilkårlig kode eller forårsage et lammelsesangreb.
CVE-2011-2821:
En hukommelseskorruptionsfejl (dobbelt frigivelse) blev opdaget i libxml2's XPath-maskine. Ved hjælp af fejlen var det muligt for en angriber, at forårsage et lammelsesangreb eller muligvis have anden ikke-angivet indvirkning. Sårbarheden påvirker ikke den gamle stabile distribution (lenny).
CVE-2011-2834:
Yang Dingning en dobbelt frigivelse-sårbarhed relateret til XPath-håndtering.
CVE-2011-3905:
En sårbarhed i forbindelse med læsning uden for grænserne, gjorde det muligt for fjernangribere at forårsage et lammelsesangreb.

I den gamle stabile distribution (lenny), er dette problem rettet i version 2.6.32.dfsg-5+lenny5.

I den stabile distribution (squeeze), er dette problem rettet i version 2.7.8.dfsg-2+squeeze2.

I distributionen testing (wheezy), er dette problem rettet i version 2.7.8.dfsg-7.

I den ustabile distribution (sid), er dette problem rettet i version 2.7.8.dfsg-7.

Vi anbefaler at du opgraderer dine libxml2-pakker.