Информация по безопасности / 2015 / Информация о безопасности -- DSA-3243-1 libxml-libxml-perl

Рекомендация Debian по безопасности

DSA-3243-1 libxml-libxml-perl -- обновление безопасности

Дата сообщения:

01.05.2015

Затронутые пакеты:

libxml-libxml-perl

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 783443.
В каталоге Mitre CVE: CVE-2015-3451.

Более подробная информация:

Тильман Хаак из xing.com обнаружил, что XML::LibXML, интерфейс для Perl к библиотеки libxml2, при определённых обстоятельствах не учитывает параметр expand_entities для отключения обработки внешних сущностей. Это может позволить злоумышленникам получить доступ для чтения к защищённым ресурсам в зависимости от того, как используется данная библиотека.

В предыдущем стабильном выпуске (wheezy) эта проблема была исправлена в версии 2.0001+dfsg-1+deb7u1.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 2.0116+dfsg-1+deb8u1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 2.0116+dfsg-2.

Рекомендуется обновить пакеты libxml-libxml-perl.