Информация по безопасности / 2013 / Информация о безопасности -- DSA-2652-1 libxml2

Рекомендация Debian по безопасности

DSA-2652-1 libxml2 -- экспансия внешней сущности

Дата сообщения:

24.03.2013

Затронутые пакеты:

libxml2

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 702260.
В каталоге Mitre CVE: CVE-2013-0338, CVE-2013-0339.

Более подробная информация:

Брэд Хилл из iSEC Partners обнаружил, что многие реализации XML уязвимы к проблемам, связанным с экспансией внешних сущностей, которые могут использоваться для различных целей, таких как обход межсетевого экрана, скрытие IP адреса и отказ в обслуживании. Подозрения вызвала libxml2, проблемы возникают при выполнении подстановки строки во время экспансии сущности.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 2.7.8.dfsg-2+squeeze7.

В тестируемом (wheezy) и нестабильном (sid) выпусказ эти проблемы были исправлены в версии 2.8.0+dfsg1-7+nmu1.

Рекомендуется обновить пакеты libxml2.