セキュリティ情報 / 2013 / セキュリティ情報 -- DSA-2652-1 libxml2

Debian セキュリティ勧告

DSA-2652-1 libxml2 -- 外部エンティティ展開

報告日時:

2013-03-24

影響を受けるパッケージ:

libxml2

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 702260.
Mitre の CVE 辞書: CVE-2013-0338, CVE-2013-0339.

詳細:

iSEC Partners の Brad Hill さんが、多くの XML 実装が外部エンティティ展開の問題に対して脆弱であることを発見しました。 この問題はファイアウォールの迂回や IP アドレスの偽装、サービス拒否等、 様々な目的に利用することができます。libxml2 はエンティティ展開中の文字列置換処理でこの問題の影響を受けやすくなっていました。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 2.7.8.dfsg-2+squeeze7 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) および不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 2.8.0+dfsg1-7+nmu1 で修正されています。

直ちに libxml2 パッケージをアップグレードすることを勧めます。