Säkerhetsbulletin från Debian
DSA-3582-1 expat -- säkerhetsuppdatering
- Rapporterat den:
- 2016-05-18
- Berörda paket:
- expat
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2016-0718, CVE-2016-4472.
- Ytterligare information:
-
Gustavo Grieco upptäckte att Expat, ett XML-tolkningsbibliotek för C, inte hanterar vissa sorters felaktigt formatterade indatadokument ordentligt, vilket resulterar i buffertspill under behandling och felrapportering. En fjärrangripare kan dra fördel av denna brist för att orsaka att applikation som använder Expatbiblioteket kraschar, eller potentiellt, att köra godtycklig kod med samma rättigheter som användaren som kör applikationen.
För den stabila utgåvan (Jessie) har detta problem rättats i version 2.1.0-6+deb8u2. Utöver detta påbättrar detta rättningen för CVE-2015-1283 för att undvika att bero på odefinierat beteende.
Vi rekommenderar att ni uppgraderar era expat-paket.