Debians sikkerhedsbulletin

DSA-4814-1 xerces-c -- sikkerhedsopdatering

Rapporteret den:
17. dec 2020
Berørte pakker:
xerces-c
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 947431.
I Mitres CVE-ordbog: CVE-2018-1311.
Yderligere oplysninger:

Man opdagede at xerces-c, et valideringsbibliotek til fortolkning af XML til C++, ikke på korrekt vis scanede DTD'er. Anvendelse efter frigivelse-sårbarheden, som var resultatet af dette problem, gjorde det muligt for en fjernangriber at benytte en særligt fremstillet XML-fil til at få applikationen til at gå ned, eller til potentielt at udføre vilkårlig kode. Bemærk at patch'en som retter dette problem, kommer som følge af en nyligt opstået hukommelseslækage.

I den stabile distribution (buster), er dette problem rettet i version 3.2.2+debian-1+deb10u1.

Vi anbefaler at du opgraderer dine xerces-c-pakker.

For detaljeret sikkerhedsstatus vedrørende xerces-c, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/xerces-c