Informations de sécurité / 2017 / Informations sur la sécurité -- DSA-3898-1 expat

Bulletin d'alerte Debian

DSA-3898-1 expat -- Mise à jour de sécurité

Date du rapport :

25 juin 2017

Paquets concernés :

expat

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2016-9063, CVE-2017-9233.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Expat, une bibliothèque C d'analyse du XML. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :

• CVE-2016-9063

  Gustavo Grieco a découvert un défaut de dépassement d'entier pendant l'analyse du XML. Un attaquant peut tirer avantage de ce défaut pour provoquer un déni de service à l'encontre d'une application utilisant la bibliothèque Expat.

• CVE-2017-9233

  Rhodri James a découvert une vulnérabilité de boucle infinie dans la fonction entityValueInitProcessor() lors de l'analyse du XML malformé dans une entité externe. Un attaquant peut tirer avantage de ce défaut pour provoquer un déni de service à l'encontre d'une application utilisant la bibliothèque Expat.

Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 2.1.0-6+deb8u4.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 2.2.0-2+deb9u1. Pour la distribution stable (Stretch), CVE-2016-9063 a déjà été corrigé avant la publication initiale.

Pour la distribution testing (Buster), ces problèmes ont été corrigés dans la version 2.2.1-1 ou dans une version précédente.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.2.1-1 ou dans une version précédente.

Nous vous recommandons de mettre à jour vos paquets expat.