Debians sikkerhedsbulletin
DSA-3597-1 expat -- sikkerhedsopdatering
- Rapporteret den:
- 7. jun 2016
- Berørte pakker:
- expat
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2012-6702, CVE-2016-5300.
- Yderligere oplysninger:
-
To beslægtede problemer blev opdaget i Expat, et C-bibliotek til fortolkning af XML.
- CVE-2012-6702
Opstod da CVE-2012-0876 blev løst. Stefan Sørensen opdagede at anvendelsen af funktionen XML_Parse() spirede tilfældigt tal-generatoren, så der blev genereret gentagne uddata for rand()-kaldene.
- CVE-2016-5300
Var en følge af en ufuldstændig løsning af CVE-2012-0876. Fortolkeren spirede på dårlig vis tilfæligt tal-generatoren, hvilket gjorde det muligt for en angriber, at forårsage et lammelsesangreb (CPU-forbrug) gennem en XML-fil med fabrikerede identifikatorer.
Du vil måske være nødt til manuelt at genstarte programmer og tjenester, som anvender expat-biblioteker.
I den stabile distribution (jessie), er disse problemer rettet i version 2.1.0-6+deb8u3.
I den ustabile distribution (sid), er disse problemer rettet i version 2.1.1-3.
Vi anbefaler at du opgraderer dine expat-pakker.
- CVE-2012-6702