Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2652-1 libxml2

Debians sikkerhedsbulletin

DSA-2652-1 libxml2 -- udvidelse af ekstern entitet

Rapporteret den:

24. mar 2013

Berørte pakker:

libxml2

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 702260.
I Mitres CVE-ordbog: CVE-2013-0338, CVE-2013-0339.

Yderligere oplysninger:

Brad Hill fra iSEC Partners opdagede at mange XML-implementeringer var sårbare over for problemer i forbindelse med udvidelse af eksterne entiteter, hvilket kan benyttes til forskellige formål, så som omgåelse af firewall, forklædning af en IP-adresse og lammelsesangreb (denial of service). libxml2 var sårbart over for disse problemer, når der blev udført strengerstatning under entitetsudvidelse.

I den stabile distribution (squeeze), er disse problemer rettet i version 2.7.8.dfsg-2+squeeze7.

I distributionen testing (wheezy) og i den ustabile distributions (sid), er disse problemer rettet i version 2.8.0+dfsg1-7+nmu1.

Vi anbefaler at du opgraderer dine libxml2-pakker.