Debians sikkerhedsbulletin
DSA-3898-1 expat -- sikkerhedsopdatering
- Rapporteret den:
- 25. jun 2017
- Berørte pakker:
- expat
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2016-9063, CVE-2017-9233.
- Yderligere oplysninger:
-
Adskillige sårbarheder er opdaget i Expat, et C-bibliotek til XML-fortolkning. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2016-9063
Gustavo Grieco opdagede en heltalsoverløbsfejl under fortolking af XML. En angriber kunne drage nytte af fejlen til at forårsage et lammelsesangreb mod en applikation, der anvender Expat-biblioteket.
- CVE-2017-9233
Rhodri James opdagede en uendelig løkke-sårbarhed i funktionen entityValueInitProcessor(), under fortolkning af misdannet XML i en ekstern entitet. En angriber kunne drage nytte af fejlen til at forårsage et lammelsesangreb mod en applikation, der anvender Expat-biblioteket.
I den gamle stabile distribution (jessie), er disse problemer rettet i version 2.1.0-6+deb8u4.
I den stabile distribution (stretch), er disse problemer rettet i version 2.2.0-2+deb9u1. I den stabile distribution (stretch), blev CVE-2016-9063 rettet allerede inden udgivelsen.
I distributionen testing (buster), er disse problemer rettet i version 2.2.1-1 eller i en tidligere version.
I den ustabile distribution (sid), er disse problemer rettet i version 2.2.1-1 eller i en tidligere version.
Vi anbefaler at du opgraderer dine expat-pakker.
- CVE-2016-9063