Рекомендация Debian по безопасности

DSA-2394-1 libxml2 -- несколько уязвимостей

Дата сообщения:

27.01.2012

Затронутые пакеты:

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 652352, Ошибка 643648, Ошибка 656377.
В каталоге Mitre CVE: CVE-2011-0216, CVE-2011-2821, CVE-2011-2834, CVE-2011-3905, CVE-2011-3919.

Более подробная информация:

В libxml2, популярной библиотеке для работы с файлами данных в формате XML, было обнаружено много проблем безопасности.

CVE-2011-3919:
Юри Ядла обнаружил переполнение динамической памяти, позволяющее удалённым злоумышленникам вызывать отказ в обслуживании или оказывать неопределённое влияние на безопасность системы через неизвестные векторы.
CVE-2011-0216:
Была обнаружена ошибка на единицу, позволяющая удалённым злоумышленникам выполнять произвольный код или вызывать отказ в обслуживании.
CVE-2011-2821:
В движке XPath из состава libxml2 была обнаружена ошибка, приводящая к повреждению содержимого памяти (двойное освобождение памяти). С помощью этой ошибки злоумышленник может вызывать отказ в обслуживании или оказывать неопределённое влияние на безопасность системы. Эта уязвимость не касается предыдущего стабильного выпуска (lenny).
CVE-2011-2834:
Ян Динин обнаружил двойное освобождение памяти, связанное с обработкой XPath.
CVE-2011-3905:
Было обнаружено чтение за пределами выделенного буфера памяти, позволяющее удалённым злоумышленникам вызывать отказ в обслуживании.

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в версии 2.6.32.dfsg-5+lenny5.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 2.7.8.dfsg-2+squeeze2.

В тестируемом выпуске (wheezy) эта проблема была исправлена в версии 2.7.8.dfsg-7.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 2.7.8.dfsg-7.

Рекомендуется обновить пакеты libxml2.