Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3709-1 libxslt

Debians sikkerhedsbulletin

DSA-3709-1 libxslt -- sikkerhedsopdatering

Rapporteret den:

8. nov 2016

Berørte pakker:

libxslt

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 842570.
I Mitres CVE-ordbog: CVE-2016-4738.

Yderligere oplysninger:

Nick Wellnhofer opdagede at funktionen xsltFormatNumberConversion i libxslt, et runtimebibliotek til behandling af XSLT, ikke på korrekt vis kiggede efter om en nulbyte afsluttede mønsterstrengen. Fejlen kunne udnyttes til at lække et par bytes efter bufferen, der indeholder mønsterstrengen.

I den stabile distribution (jessie), er dette problem rettet i version 1.1.28-2+deb8u2.

I distributionen testing (stretch), er dette problem rettet i version 1.1.29-2.

I den ustabile distribution (sid), er dette problem rettet i version 1.1.29-2.

Vi anbefaler at du opgraderer dine libxslt-pakker.