Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3199-1 xerces-c

Säkerhetsbulletin från Debian

DSA-3199-1 xerces-c -- säkerhetsuppdatering

Rapporterat den:

2015-03-20

Berörda paket:

xerces-c

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 780827.
I Mitres CVE-förteckning: CVE-2015-0252.

Ytterligare information:

Anton Rager och Jonathan Brossard från Salesforce.com Product Security Team och Ben Laurie från Google upptäckte en överbelastningssårbarhet i xerces-c, ett validerande XML-tolkningsbibliotek för C++. Tolken hanterar vissa indatadokument felaktigt, vilket resulterar i ett segmentationsfel under en tolkningsoperation. En icke autentiserad angripare kunde utnyttja denna brist för att orsaka att en applikation som använder biblioteket xerces-c kraschar.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 3.1.1-3+deb7u1.

Vi rekommenderar att ni uppgraderar era xerces-c-paket.