Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-3057-1 libxml2

Debians sikkerhedsbulletin

DSA-3057-1 libxml2 -- sikkerhedsopdatering

Rapporteret den:

26. okt 2014

Berørte pakker:

libxml2

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 762864, Fejl 765722, Fejl 765770.
I Mitres CVE-ordbog: CVE-2014-3660.

Yderligere oplysninger:

Sogeti fandt en lammelsesangrebsfejl i libxml2, et bibliotek som gør det muligt at læse, ændre og skrive XML- og HTML-filer. En fjernangriber kunne gennem en særligt fremstillet XML-fil, som ved behandling af en applikation, der anvender libxml2, kunne føre til alt for stort CPU-forbrug (lammelsesangreb) baseret på overdrevne entitetserstatninger, selv hvis entitetserstatninger var slået fra, hvilket er fortolkerens standardindstilling. (CVE-2014-3660)

Desuden korrigerer denne opdateringn en fejlplaceret chunk til en patch udgivet med version 2.8.0+dfsg1-7+wheezy1 (#762864), samt en hukommeleslækageregression (#765770) opstået i version 2.8.0+dfsg1-7+nmu3.

I den stabile distribution (wheezy), er dette problem rettet i version 2.8.0+dfsg1-7+wheezy2.

I den ustabile distribution (sid), er dette problem rettet i version 2.9.2+dfsg1-1.

Vi anbefaler at du opgraderer dine libxml2-pakker.