Säkerhetsbulletin från Debian

DSA-2277-1 xml-security-c -- stack-baserat buffertspill

Rapporterat den:
2011-07-10
Berörda paket:
xml-security-c
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 632973.
I Mitres CVE-förteckning: CVE-2011-2516.
Ytterligare information:

Det har upptäckts att xml-security-c, en implementation av specifikationerna för XML Digitala Signaturer och Kryptering, inte hanterar RSA-nycklar med storleken 8192 eller fler bitar ordentligt. Detta tillåter en angripare att krascha applikationer som använder denna funktionalitet eller potentiellt körning av godtycklig kod genom att lura en applikation att verifiera en signatur som skapats med en tillräckligt lång RSA-nyckel.

För den gamla stabila utgåvan (Lenny) har detta problem rättats i version 1.4.0-3+lenny3.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 1.5.1-3+squeeze1.

För uttestningsutgåvan (Wheezy) kommer detta problem att rättas inom kort

För den instabila utgåvan (Sid) har detta problem rättats i version 1.6.1-1.

Vi rekommenderar att ni uppgraderar era xml-security-c-paket.