Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2424-1 libxml-atom-perl

Bulletin d'alerte Debian

DSA-2424-1 libxml-atom-perl -- Expansion d'entité XML externe

Date du rapport :

4 mars 2012

Paquets concernés :

libxml-atom-perl

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.

Plus de précisions :

Le module Perl XML::Atom ne désactivait pas les entités externes lors de l'analyse du XML provenant de sources éventuellement non fiables. Cela risque de permettre aux attaquants d'obtenir un accès en lecture aux ressources autrement protégées, en fonction de la façon dont la bibliothèque est utilisée.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.37-1+squeeze1.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 0.39-1.

Nous vous recommandons de mettre à jour vos paquets libxml-atom-perl.