<div dir="ltr"><div class="gmail_default"><div class="gmail_default"><font face="tahoma, sans-serif">Package: libcroco3</font></div><div class="gmail_default"><font face="tahoma, sans-serif">Version: 0.6.12-2</font></div><div class="gmail_default"><font face="tahoma, sans-serif">Severity: important</font></div><div class="gmail_default"><font face="tahoma, sans-serif"><br></font></div><div class="gmail_default"><font face="tahoma, sans-serif">Dear Maintainer,</font></div><div class="gmail_default"><font face="tahoma, sans-serif"><br></font></div><div class="gmail_default"><font face="tahoma, sans-serif">The cr_parser_parse_stylesheet() function in cr-parser.c can cause a denial of service (infinite loop and CPU consumption) via a crafted CSS file. Which can lead csslint-0.6 hangs forever.</font></div><div class="gmail_default"><font face="tahoma, sans-serif"><br></font></div><div class="gmail_default"><font face="tahoma, sans-serif">$ csslint-0.6 cr-parser.c@@cr_parser_parse_import.css   </font></div><div class="gmail_default"><font face="tahoma, sans-serif">  csslint will not return and the it's CPU consumption is 100%</font></div><div class="gmail_default"><font face="tahoma, sans-serif"><br></font></div><div class="gmail_default"><font face="tahoma, sans-serif">The cause of this bug is that, the cr_parser_parse_stylesheet() function called cr_parser_parse_media() cr_parser_parse_import() and cr_parser_parse_ruleset() , but cr_parser_parse_media() cr_parser_parse_import() and cr_parser_parse_ruleset() didn't return a right status correctly while parsing malformed css file,thus making cr_parser_parse_stylesheet() run in a infinite loop. </font></div><div class="gmail_default"><font face="tahoma, sans-serif"><br></font></div><div class="gmail_default"><font face="tahoma, sans-serif"><br></font></div><div class="gmail_default"><font face="tahoma, sans-serif"><br></font></div><div class="gmail_default"><font face="tahoma, sans-serif">-- System Information:</font></div><div class="gmail_default"><font face="tahoma, sans-serif">Debian Release: 9.4</font></div><div class="gmail_default"><font face="tahoma, sans-serif">  APT prefers stable-updates</font></div><div class="gmail_default"><font face="tahoma, sans-serif">  APT policy: (500, 'stable-updates'), (500, 'stable')</font></div><div class="gmail_default"><font face="tahoma, sans-serif">Architecture: amd64 (x86_64)</font></div><div class="gmail_default"><font face="tahoma, sans-serif"><br></font></div><div class="gmail_default"><font face="tahoma, sans-serif">Kernel: Linux 4.9.0-6-amd64 (SMP w/1 CPU core)</font></div><div class="gmail_default"><font face="tahoma, sans-serif">Locale: LANG=en_HK.UTF-8, LC_CTYPE=en_HK.UTF-8 (charmap=UTF-8), LANGUAGE=en_HK:en (charmap=UTF-8)</font></div><div class="gmail_default"><font face="tahoma, sans-serif">Shell: /bin/sh linked to /bin/dash</font></div><div class="gmail_default"><font face="tahoma, sans-serif">Init: systemd (via /run/systemd/system)</font></div><div class="gmail_default"><font face="tahoma, sans-serif"><br></font></div><div class="gmail_default"><font face="tahoma, sans-serif">Versions of packages libcroco3 depends on:</font></div><div class="gmail_default"><font face="tahoma, sans-serif">ii  libc6         2.24-11+deb9u3</font></div><div class="gmail_default"><font face="tahoma, sans-serif">ii  libglib2.0-0  2.50.3-2</font></div><div class="gmail_default"><font face="tahoma, sans-serif">ii  libxml2       2.9.4+dfsg1-2.2+deb9u2</font></div><div class="gmail_default"><font face="tahoma, sans-serif"><br></font></div><div class="gmail_default"><font face="tahoma, sans-serif"><br></font></div><div class="gmail_default"><font face="tahoma, sans-serif">--</font></div><div class="gmail_default"><font face="tahoma, sans-serif"> Jin Huang, ADLab of Venustech</font></div></div><div><br></div>
</div>