Информация по безопасности / 2016 / Информация о безопасности -- DSA-3610-1 xerces-c

Рекомендация Debian по безопасности

DSA-3610-1 xerces-c -- обновление безопасности

Дата сообщения:

29.06.2016

Затронутые пакеты:

xerces-c

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 828990.
В каталоге Mitre CVE: CVE-2016-4463.

Более подробная информация:

Брэндон Перри обнаружил, что xerces-c, библиотека C++ для грамматического разбора XML с возможностью проверки, не способна успешно выполнить грамматический разбор DTD с большим количеством вложений, что приводит к переполнению стека. Удалённый неаутентифицированный злоумышленник может использовать данную уязвимость для вызова отказа в обслуживании в приложениях, использующих библиотеку xerces-c.

Кроме того, данное обновление включает в себя возможность, позволяющую приложениям полностью отключить обработку DTD с помощью специально переменной окружения (XERCES_DISABLE_DTD).

В стабильном выпуске (jessie) эта проблема была исправлена в версии 3.1.1-5.1+deb8u3.

Рекомендуется обновить пакеты xerces-c.