Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3321-1 xmltooling

Bulletin d'alerte Debian

DSA-3321-1 xmltooling -- Mise à jour de sécurité

Date du rapport :

30 juillet 2015

Paquets concernés :

xmltooling

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 793855.
Dans le dictionnaire CVE du Mitre : CVE-2015-0851.

Plus de précisions :

L'équipe de formation à Shibboleth d'InCommon a découvert que XMLTooling, une bibliothèque C++ d'analyse XML, ne traitait pas correctement une exception lors de l'analyse de code XML correct mais selon un schéma non valable. Cela pourrait permettre à des attaquants distants de provoquer un déni de service (plantage) avec des données XML contrefaites.

Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 1.4.2-5+deb7u1.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 1.5.3-2+deb8u1.

Pour la distribution unstable (Sid), ce problème sera corrigé prochainement.

Nous vous recommandons de mettre à jour vos paquets xmltooling.