Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3610-1 xerces-c

Debians sikkerhedsbulletin

DSA-3610-1 xerces-c -- sikkerhedsopdatering

Rapporteret den:

29. jun 2016

Berørte pakker:

xerces-c

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 828990.
I Mitres CVE-ordbog: CVE-2016-4463.

Yderligere oplysninger:

Brandon Perry opdagede at xerces-c, et validerende XML-fortolkningsbibliotek til C++, ikke kunne fortolke en DTD med succes, hvis den er dybt forgrenet, forårsagende et stakoverløb. En uautoriseret fjernangriber kunne drage nytte af fejlen til at forårsage et lammelsesangreb (denial of service) mod applikationer, som anvender biblioteket xerces-c.

Desuden indeholder denne opdatering en udvidelse, som gør det muligt for apllikationer fuldstændigt at deaktivere DTD-behandling, ved brug af en miljøvariabel (XERCES_DISABLE_DTD).

I den stabile distribution (jessie), er dette problem rettet i version 3.1.1-5.1+deb8u3.

Vi anbefaler at du opgraderer dine xerces-c-pakker.