Risque
- Exécution de code arbitraire
Systèmes affectés
Bibliothèque libxml2 version 2.6.5 et antérieures.
Résumé
Une vulnérabilité de type débordement de mémoire a été découverte dans la bibliothèque libxml2.
Description
La bibliothèque libxml2 sert pour le traitement des données au format XML. Elle est notamment utilisée par les bureaux Gnome et KDE sur les plates-formes Unix.
Lorsque la bibliothèque libxml2 analyse des données depuis une ressource distante via FTP ou HTTP, elle utilise des routines spécifiques pour traiter les données.
Si une URL très longue est utilisée, il est possible de provoquer un débordement de mémoire. Cette vulnérabilité peut être exploitée par un utilisateur distant mal intentionné pour exécuter du code arbitraire sur le système vulnérable.
Solution
Appliquer le correctif de l'éditeur.
Documentation
- Avis de sécurité RedHat RHSA-2004:090-06 http://rhn.redhat.com/errata/RHSA-2004-090.html
- Avis de sécurité Debian DSA 455-1 : http://www.debian.org/security/2004/dsa-455
- Avis de sécurité FreeBSD du 25 février 2004 : http://www.vuxml.org/freebsd/
- Avis de sécurité Gentoo GLSA 200403-01 : http://lists.netsys.com/pipermail/full-disclosure/2004-March/018344.html
- Avis de sécurité Mandrake MDKSA-2004:018 : http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:018
- Avis de sécurité RedHat RHSA-2004:091-07 : http://rhn.redhat.com/errata/RHSA-2004-091.html
- Mise à jour de sécurité du paquetage NetBSD libxml2 : ftp://ftp.netbsd.org/pub/NetBSD/packages/distfiles/vulnerabilities
