Risque
- Exécution de code arbitraire à distance
Systèmes affectés
libxml2 versions 2.6.14 et antérieures.
Description
La bibliothèque libxml2 sert pour le traitement des données au format XML. Elle est notamment utilisée par l'environnement graphique Gnome.
Deux vulnérabilités de type débordement de mémoire sont présentes dans des routines utilisées pour le traitement de liens (URI) dans le module nanoftp. Plusieurs vulnérabilités de type débordement de mémoire sont également présentes dans des routines utilisées pour la résolution de noms dans les modules nanoftp et nanohttp.
Au moyen d'un fichier XML habilement constitué, les vulnérabilités affectant le traitement de liens (URI) peuvent être exploitées par un utilisateur mal intentionné afin d'exécuter du code arbitraire via une application utilisant la bibliothèque vulnérable.
Les vulnérabilités relatives à la résolution de noms peuvent être exploitées au travers d'un serveur DNS hostile contrôlé par un utilisateur mal intentionné.
Solution
La version 2.6.15 de la bibliothèque libxml2 corrige cette vulnérabilité.
Se référer aux bulletins de sécurité de l'éditeur (cf. section Documentation) pour l'obtention des correctifs.
Documentation
- Bulletin de sécurité Debian DSA-582 du 02 novembre 2004 : http://www.debian.org/security/2004/dsa-582
- Bulletin de sécurité Gentoo GLSA 200411-05 du 02 novembre 2004 : http://www.gentoo.org/security/en/glsa/glsa-200411-05.xml
- Bulletin de sécurité Mandrake MDKSA-2004:127 : http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:127
- Bulletin de sécurité Red Hat RHSA-2004:615 du 12 novembre 2004 : http://rhn.redhat.com/errata/RHSA-2004-615.html
- Bulletin de sécurité Red Hat RHSA-2004:650 du 16 décembre 2004 : http://rhn.redhat.com/errata/RHSA-2004-650.html
- Mise à jour de sécurité des paquetages NetBSD libxml et libxml2 : ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/textproc/libxml2/README.html
- Mise à jour de sécurité des paquetages NetBSD libxml et libxml2 : ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/textproc/libxml/README.html
- Sortie de la version 2.6.15 de libxml2 : http://www.xmlsoft.org/news.html