[ptxdist] [PATCH] libxml2: apply fix for CVE-2017-8872

[ptxdist] [PATCH] libxml2: apply fix for CVE-2017-8872

[Denis OSTERLAND]

Taken from debian buster libxml2_2.9.7+dfsg-1.

Signed-off-by: Denis Osterland <Denis.Osterland@diehl.com>
---
 ...-bounds-read-in-htmlParseTryOrFinish.patch | 31 +++++++++++++++++++
 patches/libxml2-2.9.7/series                  |  5 +--
 2 files changed, 34 insertions(+), 2 deletions(-)
 create mode 100644 patches/libxml2-2.9.7/0001-Out-of-bounds-read-in-htmlParseTryOrFinish.patch

diff --git a/patches/libxml2-2.9.7/0001-Out-of-bounds-read-in-htmlParseTryOrFinish.patch b/patches/libxml2-2.9.7/0001-Out-of-bounds-read-in-htmlParseTryOrFinish.patch
new file mode 100644
index 000000000..c23cb47e5
--- /dev/null
+++ b/patches/libxml2-2.9.7/0001-Out-of-bounds-read-in-htmlParseTryOrFinish.patch
@@ -0,0 +1,31 @@
+From: Marcus Meissner <meissner@suse.de>
+Date: Wed, 3 Jan 2018 14:43:41 +0100
+Subject: [PATCH] Out-of-bounds read in htmlParseTryOrFinish
+
+Origin: vendor, https://bugzilla.novell.com/attachment.cgi?id=732309
+Bug: https://bugzilla.gnome.org/show_bug.cgi?id=775200
+Bug-Debian: https://bugs.debian.org/862450
+Bug-Debian-Security: https://security-tracker.debian.org/tracker/CVE-2017-8872
+Bug-SUSE: https://bugzilla.novell.com/show_bug.cgi?id=1038444
+Forwarded: yes, https://bugzilla.gnome.org/attachment.cgi?id=366193
+Reviewed-by: Salvatore Bonaccorso <carnil@debian.org>
+Last-Update: 2018-01-03
+---
+ parser.c | 4 ++++
+ 1 file changed, 4 insertions(+)
+
+diff --git a/parser.c b/parser.c
+index 1c5e036ea265..025111067ae8 100644
+--- a/parser.c
++++ b/parser.c
+@@ -12467,6 +12467,10 @@ xmlHaltParser(xmlParserCtxtPtr ctxt) {
+ 	ctxt->input->cur = BAD_CAST"";
+ 	ctxt->input->base = ctxt->input->cur;
+         ctxt->input->end = ctxt->input->cur;
++    if (ctxt->input->buf)
++        xmlBufEmpty (ctxt->input->buf->buffer);
++    else
++        ctxt->input->length = 0;
+     }
+ }
+ 
diff --git a/patches/libxml2-2.9.7/series b/patches/libxml2-2.9.7/series
index 05ba5ddea..dcf0dbafc 100644
--- a/patches/libxml2-2.9.7/series
+++ b/patches/libxml2-2.9.7/series
@@ -1,6 +1,7 @@
 # generated by git-ptx-patches
-#tag:base --start-number 1
 #tag:upstream --start-number 1
 #tag:ptx --start-number 200
 0200-xml2-config-is-not-SYSROOT-aware.patch
-# b6720be956d1b4619bc1c347a0ceb1dd  - git-ptx-patches magic
+#tag:base --start-number 1
+0001-Out-of-bounds-read-in-htmlParseTryOrFinish.patch
+# 5a3ede3e80859cb7bc5c630bc7dbe43c  - git-ptx-patches magic
-- 
2.17.1


Diehl AKO Stiftung & Co. KG, Pfannerstraße 75-83, 88239 Wangen im Allgäu
Bereichsvorstand: Dipl.-Ing. Michael Siedentop (Sprecher), Josef Fellner (Mitglied)
Sitz der Gesellschaft: Wangen i.A. – Registergericht: Amtsgericht Ulm HRA 620609 – Persönlich haftende Gesellschafterin: Diehl Verwaltungs-Stiftung – Sitz: Nürnberg – Registergericht: Amtsgericht Nürnberg HRA 11756 –
Vorstand: Dr.-Ing. Karl Tragl (Vorsitzender), Herr Dipl.-Wirtsch.-Ing. Wolfgang Weggen (stellvertretender Vorsitzender), Dipl.-Kfm. Claus Günther, Dipl.-Kfm. Frank Gutzeit, Dr.-Ing. Heinrich Schunk, Dr.-Ing. Michael Siedentop , Dipl.-Kfm. Dr.-Ing. Martin Sommer, Dipl.-Ing. (FH) Rainer von Borstel, Vorsitzender des Aufsichtsrates: Dr. Klaus Maier
___________________________________________________________________________________________________
Der Inhalt der vorstehenden E-Mail ist nicht rechtlich bindend. Diese E-Mail enthaelt vertrauliche und/oder rechtlich geschuetzte Informationen.
Informieren Sie uns bitte, wenn Sie diese E-Mail faelschlicherweise erhalten haben. Bitte loeschen Sie in diesem Fall die Nachricht. Jede unerlaubte Form der Reproduktion, Bekanntgabe, Aenderung, Verteilung und/oder Publikation dieser E-Mail ist strengstens untersagt.
The contents of the above mentioned e-mail is not legally binding. This e-mail contains confidential and/or legally protected information. Please inform us if you have received this e-mail by mistake and delete it in such a case. Each unauthorized reproduction, disclosure, alteration, distribution and/or publication of this e-mail is strictly prohibited.

_______________________________________________
ptxdist mailing list
ptxdist@pengutronix.de

Re: [ptxdist] [PATCH] libxml2: apply fix for CVE-2017-8872

[Michael Olbrich]

On Thu, Jun 21, 2018 at 11:25:03AM +0000, Denis OSTERLAND wrote:
> Taken from debian buster libxml2_2.9.7+dfsg-1.
> 
> Signed-off-by: Denis Osterland <Denis.Osterland@diehl.com>
> ---
>  ...-bounds-read-in-htmlParseTryOrFinish.patch | 31 +++++++++++++++++++
>  patches/libxml2-2.9.7/series                  |  5 +--
>  2 files changed, 34 insertions(+), 2 deletions(-)
>  create mode 100644 patches/libxml2-2.9.7/0001-Out-of-bounds-read-in-htmlParseTryOrFinish.patch
> 
> diff --git a/patches/libxml2-2.9.7/0001-Out-of-bounds-read-in-htmlParseTryOrFinish.patch b/patches/libxml2-2.9.7/0001-Out-of-bounds-read-in-htmlParseTryOrFinish.patch
> new file mode 100644
> index 000000000..c23cb47e5
> --- /dev/null
> +++ b/patches/libxml2-2.9.7/0001-Out-of-bounds-read-in-htmlParseTryOrFinish.patch
> @@ -0,0 +1,31 @@
> +From: Marcus Meissner <meissner@suse.de>
> +Date: Wed, 3 Jan 2018 14:43:41 +0100
> +Subject: [PATCH] Out-of-bounds read in htmlParseTryOrFinish
> +
> +Origin: vendor, https://bugzilla.novell.com/attachment.cgi?id=732309
> +Bug: https://bugzilla.gnome.org/show_bug.cgi?id=775200
> +Bug-Debian: https://bugs.debian.org/862450
> +Bug-Debian-Security: https://security-tracker.debian.org/tracker/CVE-2017-8872
> +Bug-SUSE: https://bugzilla.novell.com/show_bug.cgi?id=1038444
> +Forwarded: yes, https://bugzilla.gnome.org/attachment.cgi?id=366193
> +Reviewed-by: Salvatore Bonaccorso <carnil@debian.org>
> +Last-Update: 2018-01-03
> +---
> + parser.c | 4 ++++
> + 1 file changed, 4 insertions(+)
> +
> +diff --git a/parser.c b/parser.c
> +index 1c5e036ea265..025111067ae8 100644
> +--- a/parser.c
> ++++ b/parser.c
> +@@ -12467,6 +12467,10 @@ xmlHaltParser(xmlParserCtxtPtr ctxt) {
> + 	ctxt->input->cur = BAD_CAST"";
> + 	ctxt->input->base = ctxt->input->cur;
> +         ctxt->input->end = ctxt->input->cur;
> ++    if (ctxt->input->buf)
> ++        xmlBufEmpty (ctxt->input->buf->buffer);
> ++    else
> ++        ctxt->input->length = 0;
> +     }
> + }
> + 
> diff --git a/patches/libxml2-2.9.7/series b/patches/libxml2-2.9.7/series
> index 05ba5ddea..dcf0dbafc 100644
> --- a/patches/libxml2-2.9.7/series
> +++ b/patches/libxml2-2.9.7/series
> @@ -1,6 +1,7 @@
>  # generated by git-ptx-patches
> -#tag:base --start-number 1
>  #tag:upstream --start-number 1
>  #tag:ptx --start-number 200
>  0200-xml2-config-is-not-SYSROOT-aware.patch
> -# b6720be956d1b4619bc1c347a0ceb1dd  - git-ptx-patches magic
> +#tag:base --start-number 1
> +0001-Out-of-bounds-read-in-htmlParseTryOrFinish.patch

That's an upstream patch, right? It should come before the other patch in
the 'upstream' section.

Michael

> +# 5a3ede3e80859cb7bc5c630bc7dbe43c  - git-ptx-patches magic
> -- 
> 2.17.1
> 
> 
> Diehl AKO Stiftung & Co. KG, Pfannerstraße 75-83, 88239 Wangen im Allgäu
> Bereichsvorstand: Dipl.-Ing. Michael Siedentop (Sprecher), Josef Fellner (Mitglied)
> Sitz der Gesellschaft: Wangen i.A. – Registergericht: Amtsgericht Ulm HRA 620609 – Persönlich haftende Gesellschafterin: Diehl Verwaltungs-Stiftung – Sitz: Nürnberg – Registergericht: Amtsgericht Nürnberg HRA 11756 –
> Vorstand: Dr.-Ing. Karl Tragl (Vorsitzender), Herr Dipl.-Wirtsch.-Ing. Wolfgang Weggen (stellvertretender Vorsitzender), Dipl.-Kfm. Claus Günther, Dipl.-Kfm. Frank Gutzeit, Dr.-Ing. Heinrich Schunk, Dr.-Ing. Michael Siedentop , Dipl.-Kfm. Dr.-Ing. Martin Sommer, Dipl.-Ing. (FH) Rainer von Borstel, Vorsitzender des Aufsichtsrates: Dr. Klaus Maier
> ___________________________________________________________________________________________________
> Der Inhalt der vorstehenden E-Mail ist nicht rechtlich bindend. Diese E-Mail enthaelt vertrauliche und/oder rechtlich geschuetzte Informationen.
> Informieren Sie uns bitte, wenn Sie diese E-Mail faelschlicherweise erhalten haben. Bitte loeschen Sie in diesem Fall die Nachricht. Jede unerlaubte Form der Reproduktion, Bekanntgabe, Aenderung, Verteilung und/oder Publikation dieser E-Mail ist strengstens untersagt.
> The contents of the above mentioned e-mail is not legally binding. This e-mail contains confidential and/or legally protected information. Please inform us if you have received this e-mail by mistake and delete it in such a case. Each unauthorized reproduction, disclosure, alteration, distribution and/or publication of this e-mail is strictly prohibited.
> 
> _______________________________________________
> ptxdist mailing list
> ptxdist@pengutronix.de

-- 
Pengutronix e.K.                           |                             |
Industrial Linux Solutions                 | http://www.pengutronix.de/  |
Peiner Str. 6-8, 31137 Hildesheim, Germany | Phone: +49-5121-206917-0    |
Amtsgericht Hildesheim, HRA 2686           | Fax:   +49-5121-206917-5555 |

_______________________________________________
ptxdist mailing list
ptxdist@pengutronix.de

Re: [ptxdist] [PATCH] libxml2: apply fix for CVE-2017-8872

[Alexander Dahl]

Hei hei,

Am Freitag, 22. Juni 2018, 09:15:16 CEST schrieb Michael Olbrich:
> That's an upstream patch, right? It should come before the other patch in
> the 'upstream' section.

I checked yesterday, it's not in libxml2 master, yet. See the libxml2 
bugtracker for details: https://bugzilla.gnome.org/show_bug.cgi?id=775200 

Greets
Alex


_______________________________________________
ptxdist mailing list
ptxdist@pengutronix.de

Re: [ptxdist] [PATCH] libxml2: apply fix for CVE-2017-8872

[Denis OSTERLAND]

Am Freitag, den 22.06.2018, 09:15 +0200 schrieb Michael Olbrich:
> > +
> > +Origin: vendor, https://bugzilla.novell.com/attachment.cgi?id=732309
> > +Bug: https://bugzilla.gnome.org/show_bug.cgi?id=775200
> > +Bug-Debian: https://bugs.debian.org/862450
> > +Bug-Debian-Security: https://security-tracker.debian.org/tracker/CVE-2017-8872
> > +Bug-SUSE: https://bugzilla.novell.com/show_bug.cgi?id=1038444
> > +Forwarded: yes, https://bugzilla.gnome.org/attachment.cgi?id=366193
> > +Reviewed-by: Salvatore Bonaccorso <carnil@debian.org>
> > +Last-Update: 2018-01-03
> > +---
> > diff --git a/patches/libxml2-2.9.7/series b/patches/libxml2-2.9.7/series
> > index 05ba5ddea..dcf0dbafc 100644
> > --- a/patches/libxml2-2.9.7/series
> > +++ b/patches/libxml2-2.9.7/series
> > @@ -1,6 +1,7 @@
> >  # generated by git-ptx-patches
> > -#tag:base --start-number 1
> >  #tag:upstream --start-number 1
> >  #tag:ptx --start-number 200
> >  0200-xml2-config-is-not-SYSROOT-aware.patch
> > -# b6720be956d1b4619bc1c347a0ceb1dd  - git-ptx-patches magic
> > +#tag:base --start-number 1
> > +0001-Out-of-bounds-read-in-htmlParseTryOrFinish.patch
> That's an upstream patch, right? It should come before the other patch in
> the 'upstream' section.
> 
> Michael
Debian send this patch to the developers, yes.
The have not yet applied it.
I will move it to upstream.
Do you have preferences about patch-numbers?
My suggestion would be:
tag:upstream --start-number 100
tag:ptx --start-number 200
tag:base --start-number 1

Regards Denis
> > 
> > _______________________________________________
> > ptxdist mailing list
> > ptxdist@pengutronix.de
Diehl AKO Stiftung & Co. KG, Pfannerstraße 75-83, 88239 Wangen im Allgäu
Bereichsvorstand: Dipl.-Ing. Michael Siedentop (Sprecher), Josef Fellner (Mitglied)
Sitz der Gesellschaft: Wangen i.A. – Registergericht: Amtsgericht Ulm HRA 620609 – Persönlich haftende Gesellschafterin: Diehl Verwaltungs-Stiftung – Sitz: Nürnberg – Registergericht: Amtsgericht Nürnberg HRA 11756 –
Vorstand: Dr.-Ing. Karl Tragl (Vorsitzender), Herr Dipl.-Wirtsch.-Ing. Wolfgang Weggen (stellvertretender Vorsitzender), Dipl.-Kfm. Claus Günther, Dipl.-Kfm. Frank Gutzeit, Dr.-Ing. Heinrich Schunk, Dr.-Ing. Michael Siedentop , Dipl.-Kfm. Dr.-Ing. Martin Sommer, Dipl.-Ing. (FH) Rainer von Borstel, Vorsitzender des Aufsichtsrates: Dr. Klaus Maier
___________________________________________________________________________________________________
Der Inhalt der vorstehenden E-Mail ist nicht rechtlich bindend. Diese E-Mail enthaelt vertrauliche und/oder rechtlich geschuetzte Informationen.
Informieren Sie uns bitte, wenn Sie diese E-Mail faelschlicherweise erhalten haben. Bitte loeschen Sie in diesem Fall die Nachricht. Jede unerlaubte Form der Reproduktion, Bekanntgabe, Aenderung, Verteilung und/oder Publikation dieser E-Mail ist strengstens untersagt.
The contents of the above mentioned e-mail is not legally binding. This e-mail contains confidential and/or legally protected information. Please inform us if you have received this e-mail by mistake and delete it in such a case. Each unauthorized reproduction, disclosure, alteration, distribution and/or publication of this e-mail is strictly prohibited.
_______________________________________________
ptxdist mailing list
ptxdist@pengutronix.de

[ptxdist] [PATCH v2] libxml2: apply fix for CVE-2017-8872

[Denis OSTERLAND]

Taken from debian buster libxml2_2.9.7+dfsg-1.

Signed-off-by: Denis Osterland <Denis.Osterland@diehl.com>
---
 ...-bounds-read-in-htmlParseTryOrFinish.patch | 31 +++++++++++++++++++
 patches/libxml2-2.9.7/series                  |  7 +++--
 2 files changed, 35 insertions(+), 3 deletions(-)
 create mode 100644 patches/libxml2-2.9.7/0100-Out-of-bounds-read-in-htmlParseTryOrFinish.patch

diff --git a/patches/libxml2-2.9.7/0100-Out-of-bounds-read-in-htmlParseTryOrFinish.patch b/patches/libxml2-2.9.7/0100-Out-of-bounds-read-in-htmlParseTryOrFinish.patch
new file mode 100644
index 000000000..c23cb47e5
--- /dev/null
+++ b/patches/libxml2-2.9.7/0100-Out-of-bounds-read-in-htmlParseTryOrFinish.patch
@@ -0,0 +1,31 @@
+From: Marcus Meissner <meissner@suse.de>
+Date: Wed, 3 Jan 2018 14:43:41 +0100
+Subject: [PATCH] Out-of-bounds read in htmlParseTryOrFinish
+
+Origin: vendor, https://bugzilla.novell.com/attachment.cgi?id=732309
+Bug: https://bugzilla.gnome.org/show_bug.cgi?id=775200
+Bug-Debian: https://bugs.debian.org/862450
+Bug-Debian-Security: https://security-tracker.debian.org/tracker/CVE-2017-8872
+Bug-SUSE: https://bugzilla.novell.com/show_bug.cgi?id=1038444
+Forwarded: yes, https://bugzilla.gnome.org/attachment.cgi?id=366193
+Reviewed-by: Salvatore Bonaccorso <carnil@debian.org>
+Last-Update: 2018-01-03
+---
+ parser.c | 4 ++++
+ 1 file changed, 4 insertions(+)
+
+diff --git a/parser.c b/parser.c
+index 1c5e036ea265..025111067ae8 100644
+--- a/parser.c
++++ b/parser.c
+@@ -12467,6 +12467,10 @@ xmlHaltParser(xmlParserCtxtPtr ctxt) {
+ 	ctxt->input->cur = BAD_CAST"";
+ 	ctxt->input->base = ctxt->input->cur;
+         ctxt->input->end = ctxt->input->cur;
++    if (ctxt->input->buf)
++        xmlBufEmpty (ctxt->input->buf->buffer);
++    else
++        ctxt->input->length = 0;
+     }
+ }
+ 
diff --git a/patches/libxml2-2.9.7/series b/patches/libxml2-2.9.7/series
index 05ba5ddea..76a7f7c25 100644
--- a/patches/libxml2-2.9.7/series
+++ b/patches/libxml2-2.9.7/series
@@ -1,6 +1,7 @@
 # generated by git-ptx-patches
-#tag:base --start-number 1
-#tag:upstream --start-number 1
+#tag:upstream --start-number 100
+0100-Out-of-bounds-read-in-htmlParseTryOrFinish.patch
 #tag:ptx --start-number 200
 0200-xml2-config-is-not-SYSROOT-aware.patch
-# b6720be956d1b4619bc1c347a0ceb1dd  - git-ptx-patches magic
+#tag:base --start-number 1
+# 73b51dbb579d1555a9c4c76cc8b2947a  - git-ptx-patches magic
-- 
2.18.0


Diehl AKO Stiftung & Co. KG, Pfannerstraße 75-83, 88239 Wangen im Allgäu
Bereichsvorstand: Dipl.-Ing. Michael Siedentop (Sprecher), Josef Fellner (Mitglied)
Sitz der Gesellschaft: Wangen i.A. – Registergericht: Amtsgericht Ulm HRA 620609 – Persönlich haftende Gesellschafterin: Diehl Verwaltungs-Stiftung – Sitz: Nürnberg – Registergericht: Amtsgericht Nürnberg HRA 11756 –
Vorstand: Dr.-Ing. Karl Tragl (Vorsitzender), Herr Dipl.-Wirtsch.-Ing. Wolfgang Weggen (stellvertretender Vorsitzender), Dipl.-Kfm. Claus Günther, Dipl.-Kfm. Frank Gutzeit, Dr.-Ing. Heinrich Schunk, Dr.-Ing. Michael Siedentop , Dipl.-Kfm. Dr.-Ing. Martin Sommer, Dipl.-Ing. (FH) Rainer von Borstel, Vorsitzender des Aufsichtsrates: Dr. Klaus Maier
___________________________________________________________________________________________________
Der Inhalt der vorstehenden E-Mail ist nicht rechtlich bindend. Diese E-Mail enthaelt vertrauliche und/oder rechtlich geschuetzte Informationen.
Informieren Sie uns bitte, wenn Sie diese E-Mail faelschlicherweise erhalten haben. Bitte loeschen Sie in diesem Fall die Nachricht. Jede unerlaubte Form der Reproduktion, Bekanntgabe, Aenderung, Verteilung und/oder Publikation dieser E-Mail ist strengstens untersagt.
The contents of the above mentioned e-mail is not legally binding. This e-mail contains confidential and/or legally protected information. Please inform us if you have received this e-mail by mistake and delete it in such a case. Each unauthorized reproduction, disclosure, alteration, distribution and/or publication of this e-mail is strictly prohibited.

_______________________________________________
ptxdist mailing list
ptxdist@pengutronix.de