Ceci n'est pas un exercice

jcsm33 · Décembre 17, 2020, 2:30pm

Bonjour,

Une mise à jour de sécurité pour xerces-c corrige une faille use-after-free au prix de l’ouverture d’une fuite mémoire…

C’est grave Docteur ?

ELA-330-1 xerces-c security update

The first is provided by this update which fixes the use-after-free vulnerability at the expense of a memory leak.

[SECURITY] [DSA 4814-1] xerces-c security update

Please note that the patch fixing this issue comes at the expense of a
newly introduced memory leak.

[SECURITY] [DLA 2498-1] xerces-c security update

The first is provided by this update which fixes the use-after-free
vulnerability at the expense of a memory leak.

anon76715387 · Décembre 17, 2020, 3:36pm

Bonjour @jcsm33

Corriger une faille de use-after-free au prix de l’ouverture d’une fuite mémoire…

Quel est le moindre mal ?

jcsm33 · Décembre 17, 2020, 5:05pm

Comme j’ai confiance en debian, la réponse est déjà donnée.

Il reste l’option de désactiver les DTD.

Zargos · Décembre 19, 2020, 1:12pm

En fait, tout dépends de la façon d’utiliser xerces-c, car la présence d’une fuite mémoire pourrait permettre de saturer la mémoire pour quelqu’un de mal intentionné (ou tout simplement par des appels répété aux fonctions concerné dans une implémentation).
les fuites mémoire font souvent l’objet de ciblage de la part des pirates/hacker/etc…