Рекомендация Debian по безопасности

DSA-2277-1 xml-security-c -- переполнение буфера

Дата сообщения:
10.07.2011
Затронутые пакеты:
xml-security-c
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 632973.
В каталоге Mitre CVE: CVE-2011-2516.
Более подробная информация:

Было обнаружено, что xml-security-c, реализация спецификации XML Digital Signature and Encryption, неправильно обрабатывает ключи RSA размером 8192 или более бит. Это позволяет злоумышленнику аварийно завершать работу приложений, использующих эту функциональность, либо потенциально выполнять произвольный код путём вызова проверки приложением подписи, созданной с достаточно длинным ключом RSA.

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в версии 1.4.0-3+lenny3.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 1.5.1-3+squeeze1.

В тестируемом выпуске (wheezy) эта проблема будет исправлена позже.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.6.1-1.

Рекомендуется обновить пакеты xml-security-c.