Bulletin d'alerte Debian

DSA-2394-1 libxml2 -- Plusieurs vulnérabilités

Date du rapport :

27 janvier 2012

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Plus de précisions :

Plusieurs problèmes de sécurité ont été corrigés dans libxml2, une bibliothèque populaire pour traiter des fichiers de données XML.

CVE-2011-3919
Jüri Aedla a découvert un dépassement de tas qui permet aux attaquants distants de provoquer un déni de service ou éventuellement avoir d'autres conséquences non déterminées par des moyens inconnus.
CVE-2011-0216
Une erreur due à un décalage d'entier a été découverte, qui permet aux attaquants distants d'exécuter du code arbitraire ou de provoquer un déni de service.
CVE-2011-2821
Un bogue de corruption de mémoire (double libération de zone mémoire) a été identifié dans le moteur XPath de libxml2. Par son intermédiaire, un attaquant pourrait provoquer un déni de service ou éventuellement avoir un autre impact non indiqué. Cette vulnérabilité ne concerne pas la distribution oldstable (Lenny).
CVE-2011-2834:
Yang Dingning a découvert une vulnérabilité de double libération de zone mémoire relative au traitement XPath.
CVE-2011-3905:
Une vulnérabilité de lecture hors limites avait été découverte. Cela permet aux attaquants distants de provoquer un déni de service.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 2.6.32.dfsg-5+lenny5.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.7.8.dfsg-2+squeeze2.

Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 2.7.8.dfsg-7.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.7.8.dfsg-7.

Nous vous recommandons de mettre à jour vos paquets libxml2.