Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-3057-1 libxml2

Säkerhetsbulletin från Debian

DSA-3057-1 libxml2 -- säkerhetsuppdatering

Rapporterat den:

2014-10-26

Berörda paket:

libxml2

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 762864, Fel 765722, Fel 765770.
I Mitres CVE-förteckning: CVE-2014-3660.

Ytterligare information:

Sogeti upptäckte en överbelastningsbrist i libxml2, ett bibliotek som tillhandahåller stöd för att läsa, modifiera och skriva XML och HTML-filer. En fjärrangripare kunde tillhandahålla en speciellt skapad XML-fil som, under behandling av en applikation som använder libxml2, skulle orsaka överdriven CPU-konsumption (överbelastning) baserat på överdriven enhetsutbyte, även om enhetsutbyte var inaktiverat, vilket är tolkens standardbeteende. (CVE-2014-3660)

Utöver detta adresserar denna uppdatering en felaktig tillämpning av en patch som släpptes i version 2.8.0+dfsg1-7+wheezy1 (#762864), och en minnesläckageregression (#765770) som introducerades i version 2.8.0+dfsg1-7+nmu3.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 2.8.0+dfsg1-7+wheezy2.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.9.2+dfsg1-1.

Vi rekommenderar att ni uppgraderar era libxml2-paket.