Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3597-1 expat

Säkerhetsbulletin från Debian

DSA-3597-1 expat -- säkerhetsuppdatering

Rapporterat den:

2016-06-07

Berörda paket:

expat

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2012-6702, CVE-2016-5300.

Ytterligare information:

Två relaterade problem har upptäckts i Expat, ett C-bibliotek för tolkning av XML.

• CVE-2012-6702

  Introducerades när CVE-2012-0876 adresserades. Stefan Sørensen upptäckte att användning av funktionen XML_Parse() seedar slumptalsgeneratorn och genererar repeterade utdata för rand()-anrop.

• CVE-2016-5300

  En produkt av en ofullständig lösning för CVE-2012-0876. Tolkaren seedar slumptalsgeneratorn dåligt och tillåter därmed en angripare att orsaka en överbelastning (CPU-konsumption) via en XML-fil med skapade identifierare.

Du kan vara tvungen att starta om program och tjänster som använder expat-biblioteket manuellt.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 2.1.0-6+deb8u3.

För den instabila utgåvan (Sid) har dessa problem rättats i version 2.1.1-3.

Vi rekommenderar att ni uppgraderar era expat-paket.