英國國家網路安全中心 (NCSC) 發現，Xerces-C (適用於 C++ 的驗證 XML 剖析器程式庫) 中存在可在掃描外部 DTD 期間觸發的釋放後使用錯誤。
攻擊者可觸發拒絕服務 (DoS)，且可能在遠端執行程式碼。目前維護的庫版本尚未解決此瑕疵，沒有完整的緩解措施。此更新提供的第一個方案以記憶體洩漏為代價修正了釋放後使用弱點。另一個方案是停用 DTD 處理，這可透過使用標準剖析器功能的 DOM 完成，或透過使用 XERCES_DISABLE_DTD 環境變數的 SAX 來完成。

針對 Debian 9 Stretch，已在 3.1.4+debian-2+deb9u2 版本中修正此問題。

建議您升級 xerces-c 套件。

如需有關 xerces-c 安全性狀態的詳細資訊，請參閱其安全追蹤頁面：
https://security-tracker.debian.org/tracker/xerces-c

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

偵測

Debian DLA-2498-1：xerces-c 安全性更新

high Nessus Plugin ID 144444

版本 1.3