Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3582-1 expat

Bulletin d'alerte Debian

DSA-3582-1 expat -- Mise à jour de sécurité

Date du rapport :

18 mai 2016

Paquets concernés :

expat

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2016-0718, CVE-2016-4472.

Plus de précisions :

Gustavo Grieco a découvert que Expat, une bibliothèque C d'analyse XML, ne gérait pas correctement certains types de documents d'entrée malformés, avec comme conséquence des dépassements de tampon lors du traitement et des rapport d'erreur. Un attaquant distant peut tirer avantage de ce défaut pour provoquer le plantage d'une application utilisant la bibliothèque Expat, ou éventuellement, pour exécuter du code arbitraire avec les droits de l'utilisateur exécutant l'application.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 2.1.0-6+deb8u2. En complément, cette mise à jour renouvelle la correction pour CVE-2015-1283 pour éviter de dépendre d'un comportement indéfini.

Nous vous recommandons de mettre à jour vos paquets expat.