Bulletin d'alerte Debian

DSA-5142-1 libxml2 -- Mise à jour de sécurité

Date du rapport :
22 mai 2022
Paquets concernés :
libxml2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 1010526.
Dans le dictionnaire CVE du Mitre : CVE-2022-29824.
Plus de précisions :

Felix Wilhelm a signalé que plusieurs fonctions de traitement de tampon dans libxml2, une bibliothèque fournissant la gestion de la lecture, de la modification et de l'écriture de fichiers XML et HTML, ne vérifient pas les dépassements d'entier, avec pour conséquences des écritures mémoire hors limites lors du traitement de fichiers XML de plusieurs gigaoctets contrefaits pour l'occasion. Un attaquant peut tirer avantage de ce défaut pour un déni de service ou l'exécution de code arbitraire.

Pour la distribution oldstable (Buster), ce problème a été corrigé dans la version 2.9.4+dfsg1-7+deb10u4.

Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 2.9.10+dfsg-6.7+deb11u2.

Nous vous recommandons de mettre à jour vos paquets libxml2.

Pour disposer d'un état détaillé sur la sécurité de libxml2, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libxml2.