Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3582-1 expat

Debians sikkerhedsbulletin

DSA-3582-1 expat -- sikkerhedsopdatering

Rapporteret den:

18. maj 2016

Berørte pakker:

expat

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2016-0718, CVE-2016-4472.

Yderligere oplysninger:

Gustavo Grieco opdagede at Expat, et XML-fortolkende C-bibliotek, ikke på korrekt vis håndterede visse former for misdannede inddatadokumenter, medførende bufferoverløb under behandling og fejlrapportering. En fjernangriber kunne drage nytte af fejlen til at forårsage, at en applikation, der anvender Expat-biblioteket, gik ned eller potentielt udførte vilkårlig kode med rettighederne hørende til brugeren, der kører applikationen.

I den stabile distribution (jessie), er dette problem rettet i version 2.1.0-6+deb8u2. Desuden opfrister denne opdatering rettelsen af CVE-2015-1283 for at undgå at være afhængig af udefineret virkemåde.

Vi anbefaler at du opgraderer dine expat-pakker.