Vulnérabilité libxml2 : un risque de déni de service à corriger d’urgence
Mauvaise nouvelle pour les administrateurs système : une vulnérabilité critique vient d’être révélée dans libxml2, la célèbre bibliothèque de parsing XML utilisée par des milliers d’applications Linux. Découverte par le chercheur Nikita Sveshnikov, cette faille permet à un attaquant de déclencher une boucle de récursion infinie lors du traitement d’expressions XPath, culminant en un déni de service complet du processus concerné.
Pourquoi cette faille est-elle si dangereuse ?
XPath est partout : transformations XSLT, configurations systemd, outils de monitoring, parseurs de documents Office, etc. Une requête XML malicieusement conçue peut donc:
- faire consommer 100 % CPU à un serveur web,
- interrompre un workflow d’intégration continue,
- ou même paralyser un équipement embarqué tant que le service n’est pas redémarré.
Le pire ? Aucune authentification n’est nécessaire : l’attaquant n’a qu’à envoyer le document piégé à une application qui l’accepte.
Comment se protéger immédiatement
L’équipe Ubuntu a publié un avis de sécurité USN-7743-1 détaillant les versions corrigées. Suivez ces trois étapes :
- Identifiez les paquets concernés :
dpkg -l | grep libxml2 - Mettez à jour sans attendre :
sudo apt update && sudo apt upgrade libxml2 - Redémarrez les services dépendants (Apache, Nginx, PostgreSQL, etc.) pour charger la version patchée.
Si vous gérez des conteneurs, pensez à regénérer vos images avec la nouvelle version (2.9.14+ ou 2.10.4+ selon la branche).
Restez vigilant
Même après l’application du patch, surveillez vos logs : toute sollicitation anormale autour de XPath peut signaler une tentative d’exploitation. Et surtout, intégrez ce type de mise à jour dans vos runbooks pour éviter que la prochaine faille ne vous prenne au dépourvu.
Questions ou retour d’expérience ? Laissez un commentaire ci-dessous et partagez vos stratégies de veille sécurité !