Vulnérabilité dans libxml2

Gestion du document

Référence	CERTA-2010-AVI-549-001
Titre	Vulnérabilité dans libxml2
Date de la première version	12 novembre 2010
Date de la dernière version	02 décembre 2010
Source(s)	Annonce de la publication de libxml2-2.7.8 du 04 novembre 2010
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Déni de service.

Systèmes affectés

Bibliothèque libxml2, versions antérieures à la version 2.7.8.

Les applications s'appuyant sur cette bibliothèque peuvent être concernées.

Résumé

Une vulnérabilité dans la bibliothèque libxml2 permet à un utilisateur malveillant de provoquer un déni de service.

Description

Une vulnérabilité est présente dans le traitement du langage XPath par la bibliothèque libxml2. Ce problème permet à un utilisateur malveillant de provoquer un déni de service à l'aide d'un fichier XML spécialement conçu.

La possibilité d'exécution de code arbitraire est suspectée, mais non confirmée.

Les applications basées sur la bibliothèque libxml2 peuvent être vulnérables.

Solution

La bibliothèque libxml2-2.7.8 remédie à cette vulnérabilité.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Annonce de la publication de libxml2-2.7.8 du 04 novembre 2010 :
```
http://mail.gnome.org/archives/xml/2010-November/msg00015.html
```
Bulletin de sécurité Ubuntu USN-1016-1 du 10 novembre 2010 :
```
http://www.ubuntulinux.org/usn/usn-1016-1
```
Bulletin de sécurité Debian DSA-2128 du 01 décembre 2010 :
```
http://www.debian.org/security/2010/dsa-2128
```

Référence CVE CVE-2010-4008 :

https://www.cve.org/CVERecord?id=CVE-2010-4008

Gestion détaillée du document

le 12 novembre 2010: version initiale.

le 02 décembre 2010: ajout de la référence au bulletin de sécurité Debian.

Avis du CERT-FR

Objet: Vulnérabilité dans libxml2