Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3610-1 xerces-c

Säkerhetsbulletin från Debian

DSA-3610-1 xerces-c -- säkerhetsuppdatering

Rapporterat den:

2016-06-29

Berörda paket:

xerces-c

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 828990.
I Mitres CVE-förteckning: CVE-2016-4463.

Ytterligare information:

Brandon Perry upptäckte att xerces-c, ett validerande XML-tolkbibliotek för C++, misslyckas att framgångsrikt tolka en DTD som är djupt inkapslad, vilket orsakar stackspill. En icke autentiserad fjärrangripare kan dra fördel av denna brist för att orsaka en överbelastning mot applikationer som använder xerces-c-biblioteket.

Utöver detta inkluderar denna uppdatering en förbättring för att få applikationer att fullt inaktivera DTD-behandling genom användning av mijövariabler (XERCES_DISABLE_DTD).

För den stabila utgåvan (Jessie) har detta problem rättats i version 3.1.1-5.1+deb8u3.

Vi rekommenderar att ni uppgraderar era xerces-c-paket.