Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3610-1 xerces-c

Bulletin d'alerte Debian

DSA-3610-1 xerces-c -- Mise à jour de sécurité

Date du rapport :

29 juin 2016

Paquets concernés :

xerces-c

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 828990.
Dans le dictionnaire CVE du Mitre : CVE-2016-4463.

Plus de précisions :

Brandon Perry a découvert que xerces-c, une bibliothèque d'analyse et de validation de XML pour C++, échoue à analyser un DTD profondément imbriqué, provoquant un dépassement de pile. Un attaquant distant non authentifié peut tirer avantage de ce défaut pour provoquer un déni de service à l'encontre des applications qui utilisent la bibliothèque xerces-c.

En complément, cette mise à jour comprend une amélioration pour permettre aux applications de désactiver complètement le traitement de DTD grâce à l'usage d'une variable d'environnement (XERCES_DISABLE_DTD).

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 3.1.1-5.1+deb8u3.

Nous vous recommandons de mettre à jour vos paquets xerces-c.