Säkerhetsbulletin från Debian

DSA-2417-1 libxml2 -- beräkningsöverbelastning

Rapporterat den:
2012-02-22
Berörda paket:
libxml2
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2012-0841.
Ytterligare information:

Man har upptäckt att den interna hashningsrutinen i libxml2, ett bibliotek som tillhandahåller en omfattande API för att hantera XML-data, är sårbar för förutsägbara hashkollisioner. Om en angripare har kunskap om hashningsalgoritmen så är det möjligt att skapa indata som skapar en stor mängd kollisioner. Som ett resultat av detta är det möjligt att utföra överbelastning mot applikationer som använder libxml2-funktionalitet på grund av beräkningsomkostnader.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 2.7.8.dfsg-2+squeeze3.

För uttestningsutgåvan (Wheezy) och den instabila utgåvan (Sid) kommer detta problem att rättas inom kort..

Vi rekommenderar att ni uppgraderar era libxml2-paket.