Debian セキュリティ勧告

DSA-1861-1 libxml -- 複数の脆弱性

報告日時:

2009-08-13

影響を受けるパッケージ:

libxml

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2009-2416, CVE-2009-2414.

詳細:

Rauli Kaksonen, Tero Rontti および Jukka Taimisto の各氏により、XML データファイルを処理操作するためのライブラリ libxml2 に複数の欠陥が発見されました。これらの欠陥を攻撃することにより、このライブラリを用いているアプリケーションを悪用してサービス拒否攻撃や、任意のコードの実行が可能です。The Common Vulnerabilities and Exposures project は以下の問題を認識しています。

CVE-2009-2416
細工された Notation あるいは Enumeration アトリビュートタイプを DTD 定義にもつ XML ドキュメントにより、既に解放されたメモリ領域へのポインタの利用を行う欠陥があります。
CVE-2009-2414
子コンテンツの処理の際、ELEMENT DTD 定義の深さのチェックが欠けているため、細工された XML ドキュメントにより関数再帰によるスタックの過剰消費をおこす可能性があります。

旧安定版 (oldstable) ディストリビューション (etch) では、この問題はバージョン 1.8.17-14+etch1 で修正されています。

安定版 (lenny)、テスト版 (squeeze) および不安定版 (unstable) sid には libxml は収録されなくなっており、代わりに libxml2 が DSA-1859-1 で修正されています。

直ぐに libxml パッケージをアップグレードすることを勧めます。

修正:

Debian GNU/Linux 4.0 (etch)

ソース:: http://security.debian.org/pool/updates/main/libx/libxml/libxml_1.8.17-14+etch1.diff.gz; http://security.debian.org/pool/updates/main/libx/libxml/libxml_1.8.17.orig.tar.gz; http://security.debian.org/pool/updates/main/libx/libxml/libxml_1.8.17-14+etch1.dsc
Alpha:: http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-14+etch1_alpha.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-14+etch1_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-14+etch1_amd64.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-14+etch1_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-14+etch1_arm.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-14+etch1_arm.deb
HP Precision:: http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-14+etch1_hppa.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-14+etch1_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-14+etch1_i386.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-14+etch1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-14+etch1_ia64.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-14+etch1_ia64.deb
Big-endian MIPS:: http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-14+etch1_mips.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-14+etch1_mips.deb
Little-endian MIPS:: http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-14+etch1_mipsel.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-14+etch1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-14+etch1_powerpc.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-14+etch1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-14+etch1_s390.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-14+etch1_s390.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。