Informations de sécurité / 2022 / Informations sur la sécurité -- DSA-5271-1 libxml2

Bulletin d'alerte Debian

DSA-5271-1 libxml2 -- Mise à jour de sécurité

Date du rapport :

5 novembre 2022

Paquets concernés :

libxml2

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 1022224, Bogue 1022225.
Dans le dictionnaire CVE du Mitre : CVE-2022-40303, CVE-2022-40304.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans libxml2, une bibliothèque fournissant la gestion de la lecture, de la modification et de l'écriture de fichiers XML et HTML.

• CVE-2022-40303

  Maddie Stone a découvert que l'absence de vérifications de sécurité dans plusieurs fonctions peuvent avoir pour conséquence un dépassement d'entier lors de l'analyse d'un document XML lorsque l'option XML_PARSE_HUGE est activée.

• CVE-2022-40304

  Ned Williamson et Nathan Wachholz ont découvert une vulnérabilité lors du traitement de la détection de cycles de références d'entité, qui peut avoir pour conséquence la corruption d'entrées du dictionnaire. Ce défaut pouvait conduire à des erreurs de logique, y compris des erreurs de mémoire comme des défauts de double libération de zone de mémoire.

Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 2.9.10+dfsg-6.7+deb11u3.

Nous vous recommandons de mettre à jour vos paquets libxml2.

Pour disposer d'un état détaillé sur la sécurité de libxml2, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libxml2.