Objet: Vulnérabilités de Libxml2

Risque

• Déni de service à distance ;
• exécution de code à distance.

Systèmes affectés

Libxml2 2.x.

Résumé

Deux vulnérabilités de Libxml2 permettent à un utilisateur malveillant la réalisation d'un déni de service à distance ou d'exécuter du code arbitraire à distance.

Description

Une première vulnérabilité provient d'un débordement d'entier dans la fonction xmlSAX2Characters(). Elle est exploitable par un utilisateur malveillant pour exécuter du code arbitraire à distance.

Une deuxième vulnérabilité, dans la fonction xmlBufferResize(), peut être exploitée pour provoquer une boucle infinie.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité Debian DSA-1666-1 du 17 novembre 2008 :

  http://www.debian.org/security/2008/dsa-1666
  

• Bulletin de sécurité sécurité Fedora 8 FEDORA-2008-9729 du 19 novembre 2008 :

  https://www.redhat.com/archives/fedora-package-announce/2008-November/msg00472.html
  

• Bulletin de sécurité sécurité Fedora 9 FEDORA-2008-9773 du 19 novembre 2008 :

  https://www.redhat.com/archives/fedora-package-announce/2008-November/msg00513.html
  

• Bulletin de sécurité RedHat RHSA-2008:0988 du 17 novembre 2008 :

  http://rhn.redhat.com/errata/RHSA-2008-0988.html
  

• Bulletin de sécurité Ubuntu USN-673-1 du 19 novembre 2008 :

  http://www.ubuntulinux.org/usn/usn-673-1
  

• Référence CVE CVE-2008-4225 :

  https://www.cve.org/CVERecord?id=CVE-2008-4225
  

• Référence CVE CVE-2008-4226 :

  https://www.cve.org/CVERecord?id=CVE-2008-4226