Debians sikkerhedsbulletin

DSA-5142-1 libxml2 -- sikkerhedsopdatering

Rapporteret den:
22. maj 2022
Berørte pakker:
libxml2
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 1010526.
I Mitres CVE-ordbog: CVE-2022-29824.
Yderligere oplysninger:

Felix Wilhelm rapporterede at flere bufferhåndteringsfunktioner i libxml2, et bibliotek som indeholder understøttelse af læsning, ændring og skrivning af XML- og HTML-filer, ikke kiggede efter heltalsoverløb, medførende hukommelseskrivning udenfor grænserne hvis særligt fremstillede mange gigabyte store XML-filer blev behandlet. En angriber kunne drage nytte af fejlen til lammelsesangreb eller udførelse af vilkårlig kode.

I den gamle stabile distribution (buster), er dette problem rettet i version 2.9.4+dfsg1-7+deb10u4.

I den stabile distribution (bullseye), er dette problem rettet i version 2.9.10+dfsg-6.7+deb11u2.

Vi anbefaler at du opgraderer dine libxml2-pakker.

For detaljeret sikkerhedsstatus vedrørende libxml2, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/libxml2