Рекомендация Debian по безопасности

DSA-1861-1 libxml -- несколько уязвимостей

Дата сообщения:

13.08.2009

Затронутые пакеты:

libxml

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2009-2416, CVE-2009-2414.

Более подробная информация:

Раули Каксонен, Теро Ронтти и Юкка Таимисто обнаружили несколько уязвимостей в libxml, библиотеке для грамматического разбора и обработки файлов с данными в формате XML, которые могут приводить к отказу в обслуживании или возможному выполнению произвольного кода в приложении, использующем эту библиотеку. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

CVE-2009-2416
XML-документ со специально сформированными типами атрибутов Notation или Enumeration в определении DTD приводит к использованию указателей на уже освобождённые области памяти.
CVE-2009-2414
Отсутствие проверки на глубину DTD-определений ELEMENT при выполнении грамматического разбора дочернего содержимого может приводить к чрезмерному росту стека из-за рекурсивного вызова функции, который происходит в связи с обработкой специально сформированного XML-документа.

В предыдущем стабильном выпуске (etch) эта проблема была исправлена в версии 1.8.17-14+etch1.

В стабильном (lenny), тестируемом (squeeze) и нестабильном (sid) выпусках пакет libxml отсутствует, в них имеется пакет libxml2 для которого была выпущена рекомендация DSA-1859-1.

Рекомендуется обновить пакеты libxml.

Исправлено в:

Debian GNU/Linux 4.0 (etch)

Исходный код:: http://security.debian.org/pool/updates/main/libx/libxml/libxml_1.8.17-14+etch1.diff.gz; http://security.debian.org/pool/updates/main/libx/libxml/libxml_1.8.17.orig.tar.gz; http://security.debian.org/pool/updates/main/libx/libxml/libxml_1.8.17-14+etch1.dsc
Alpha:: http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-14+etch1_alpha.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-14+etch1_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-14+etch1_amd64.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-14+etch1_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-14+etch1_arm.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-14+etch1_arm.deb
HP Precision:: http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-14+etch1_hppa.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-14+etch1_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-14+etch1_i386.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-14+etch1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-14+etch1_ia64.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-14+etch1_ia64.deb
Big-endian MIPS:: http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-14+etch1_mips.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-14+etch1_mips.deb
Little-endian MIPS:: http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-14+etch1_mipsel.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-14+etch1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-14+etch1_powerpc.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-14+etch1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/libx/libxml/libxml-dev_1.8.17-14+etch1_s390.deb; http://security.debian.org/pool/updates/main/libx/libxml/libxml1_1.8.17-14+etch1_s390.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.