Säkerhetsinformation / 2017 / Säkerhetsinformation -- DSA-3898-1 expat

Säkerhetsbulletin från Debian

DSA-3898-1 expat -- säkerhetsuppdatering

Rapporterat den:

2017-06-25

Berörda paket:

expat

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2016-9063, CVE-2017-9233.

Ytterligare information:

Flera sårbarheter har upptäckts i Expat, ett C-bibliotek för att tolka XML. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2016-9063

  Gustavo Grieco upptäckte ett heltalsspill under tolkning av XML. En angripare kan dra fördel av denna brist för att orsaka en överbelastning mot en applikation som använder biblioteket Expat.

• CVE-2017-9233

  Rhodri James upptäckte en sårbarhet rörande en oändlig loop i funktionen entityValueInitProcessor() vid tolkning av felaktigt formatterad XML i en extern enhet. En angripare kan dra fördel av denna brist för att orsaka en överbelastning mot en applikation som använder biblioteket Expat.

För den gamla stabila utgåvan (Jessie) har dessa problem rättats i version 2.1.0-6+deb8u4.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 2.2.0-2+deb9u1. För den stabila utgåvan (Stretch), var redan CVE-2016-9063 rättad innan den ursprungliga utgåvan.

För uttestningsutgåvan (Buster) har dessa problem rättats i version 2.2.1-1 or earlier version.

För den instabila distributionen (Sid) har dessa problem rättats i version 2.2.1-1 or earlier version.

Vi rekommenderar att ni uppgraderar era expat-paket.