Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2652-1 libxml2

Bulletin d'alerte Debian

DSA-2652-1 libxml2 -- Expansion d'entités externes

Date du rapport :

24 mars 2013

Paquets concernés :

libxml2

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 702260.
Dans le dictionnaire CVE du Mitre : CVE-2013-0338, CVE-2013-0339.

Plus de précisions :

Brad Hill d'iSEC Partners a découvert que de nombreuses implémentations de XML sont vulnérables à des problèmes d'expansion d'entités externes pouvant être utilisées pour différentes fonctions comme le contournement de parefeu, la dissimulation d'une adresse IP et le déni de service. libxml2 était vulnérable à ces problèmes lors de la substitution de chaînes pendant l'expansion d'entités.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 2.7.8.dfsg-2+squeeze7.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.8.0+dfsg1-7+nmu1.

Nous vous recommandons de mettre à jour vos paquets libxml2.