Bulletin d'alerte Debian

DSA-2277-1 xml-security-c -- Débordement de mémoire tampon basée sur la pile

Date du rapport :
10 juillet 2011
Paquets concernés :
xml-security-c
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 632973.
Dans le dictionnaire CVE du Mitre : CVE-2011-2516.
Plus de précisions :

On a découvert que xml-security-c, une implémentation des spécifications de signature et chiffrement numériques XML, ne traite pas correctement les clefs RSA d'une taille de l'ordre d'au moins 8192 bits. Cela permet à un attaquant de planter des applications utilisant cette fonctionnalité ou éventuellement d'exécuter du code arbitraire en piégeant une application dans la vérification d'une signature créée avec une clef RSA suffisamment longue.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1.4.0-3+lenny3.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.5.1-3+squeeze1.

Pour la distribution testing (Wheezy), ce problème sera corrigé prochainement.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.6.1-1.

Nous vous recommandons de mettre à jour vos paquets xml-security-c.