Debians sikkerhedsbulletin

DSA-2277-1 xml-security-c -- stakbaseret bufferoverløb

Rapporteret den:
10. jul 2011
Berørte pakker:
xml-security-c
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 632973.
I Mitres CVE-ordbog: CVE-2011-2516.
Yderligere oplysninger:

Man opdagede at xml-security-c, en implementering af XML Digital Signature and Encryption-specifikationerne, ikke på korrekt vis håndterede RSA-nøgler med størrelser på 8192 eller flere bit. Dermed var det muligt for en angriber, at få applikationer, som anvender denne funktionalitet, til at gå ned eller potentielt udføre vilkårlig kode, ved at narre en applikation til at verfificere en signatur oprettet med en tilstrækkelig lang RSA-nøgle.

I den gamle stabile distribution (lenny), er dette problem rettet i version 1.4.0-3+lenny3.

I den stabile distribution (squeeze), er dette problem rettet i version 1.5.1-3+squeeze1.

I distributionen testing (wheezy), vil dette problem snart blive rettet.

I den ustabile distribution (sid), er dette problem rettet i version 1.6.1-1.

Vi anbefaler at du opgraderer dine xml-security-c-pakker.