Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3243-1 libxml-libxml-perl

Säkerhetsbulletin från Debian

DSA-3243-1 libxml-libxml-perl -- säkerhetsuppdatering

Rapporterat den:

2015-05-01

Berörda paket:

libxml-libxml-perl

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 783443.
I Mitres CVE-förteckning: CVE-2015-3451.

Ytterligare information:

Tilmann Haak från xing.com upptäckte att XML::LibXML, ett Perlgränssnitt till biblioteket libxml2, inte respekterar expand_entities-parametern för att inaktivera behandling av externa enheter under vissa omständigheter. Detta kan tillåta angripare att få läsåtkomst till annars skyddade resurser, beroende på hur bilioteket används.

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 2.0001+dfsg-1+deb7u1.

För den stabila utgåvan (Jessie) har detta problem rättats i version 2.0116+dfsg-1+deb8u1.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.0116+dfsg-2.

Vi rekommenderar att ni uppgraderar era libxml-libxml-perl-paket.