Информация по безопасности / 2014 / Информация о безопасности -- DSA-3057-1 libxml2

Рекомендация Debian по безопасности

DSA-3057-1 libxml2 -- обновление безопасности

Дата сообщения:

26.10.2014

Затронутые пакеты:

libxml2

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 762864, Ошибка 765722, Ошибка 765770.
В каталоге Mitre CVE: CVE-2014-3660.

Более подробная информация:

Sogeti обнаружил отказ в обслуживании в libxml2, библиотеке, предоставляющей поддержку чтения, изменения и записи файлов XML и HTML. Удалённый злоумышленник может передать специально сформированный файл XML, обработка которого приложением, использующим libxml2, приведёт к чрезмерному потреблению времени процессора (отказ в обслуживании) из-за излишних подстановок сущностей. Это происходит даже в тех случаях, когда подстановка сущностей отключена, что является поведением по умолчанию. (CVE-2014-3660)

Кроме того, данное обновление содержит исправление неправильно наложенной заплаты, выпущенной в версии 2.8.0+dfsg1-7+wheezy1 (#762864) и утечки памяти (#765770), появившейся в версии 2.8.0+dfsg1-7+nmu3.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 2.8.0+dfsg1-7+wheezy2.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 2.9.2+dfsg1-1.

Рекомендуется обновить пакеты libxml2.