Apparement le problème est corrigé en unstable :
libxml2 <http://packages.debian.org/src:libxml2> (2.6.32.dfsg-3)
unstable; urgency=high
* Fix DoS which leads to recursive evaluation of entities.
Fixes: CVE-2008-3281
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3281>, without breaking
librsvg and others. Closes: #496125 <http://bugs.debian.org/496125>.
-- Mike Hommey <[EMAIL PROTECTED]
<http://qa.debian.org/[EMAIL PROTECTED]>> Mon, 25
Aug 2008 22:01:17 +0200
->
http://packages.debian.org/changelogs/pool/main/libx/libxml2/current/changelog
David Hautbois wrote:
Nicolas FRANCOIS wrote:
Le Sun, 24 Aug 2008 14:36:10 +0200 Christian Debarbieri
<[EMAIL PROTECTED]> a écrit :
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
C'est le même probleme que le mien.
Maj de libxml2 qui fait planter gnome.
Voir le lien donné par Stéphane Aulery
http://lists.debian.org/cgi-bin/search?query=libxml2&DEFAULTOP=and&author=&sort=date&HITSPERPAGE=10&language=fr
Ils citent aussi metacity qui plante.
==
La solution de contournement est de repasser à la version précédente
provenant de unstable.
apt-get install -t unstable libxml2/unstable
Mais il faut le source.list qui va bien
Bon, et le source.list qui va bien, c'est quoi ?
Faut vous dire que j'ai un peu de mal avec ces "etch", "lenny" et autres
"instable" :-( Mon sources.list contient ce dont j'ai eu
besoin pour l'installation (par netinst) : - l'entrée CDROM, - les
deux deb des paquets (ftp2.fr.debian.org, etch, main contrib
nonfree)
- l'entrée security.debian.org
- une entrée debian-unofficial... peut-être pour le driver nvidia ???
J'ai essayé de rajouter une ligne avec "unstable" à la place de etch, et
je me fais jeter lors du "apt-get upgrade" parce que le fichier
status ne
peut pas être lu...
Bref, j'y comprends que dalle, donc si une bonne âme pouvait me dire
soit
comment revenir à l'ancienne version, soit comment recharger les bonnes
librsvg (puisque ce sont elles qui semblent poser problème), je lui en
serait vachement reconnaissant !
\bye
Salut
Si ça intéresse quelqu'un, j'ai une version de libxml2 et
libxml2-utils non impactés par le bug.
Il doivent dater d'un mois environ :
libxml2_2.6.32.dfsg-2_i386.deb
libxml2-utils_2.6.32.dfsg-2_i386.deb
Il doit y avoir moyen de forcer leur installation.
Mais ça risque de casser les dépendances et je ne sais pas si la
situation peut être rétablie facilement par la suite.
David.
--
Web site : http://david.hautbois.free.fr
Tablet users map : http://david.hautbois.free.fr/maps/index.php
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
