Debians sikkerhedsbulletin

DSA-2710-1 xml-security-c -- flere sårbarheder

Rapporteret den:
18. jun 2013
Berørte pakker:
xml-security-c
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2013-2153, CVE-2013-2154, CVE-2013-2155, CVE-2013-2156.
Yderligere oplysninger:

James Forshaw fra Context Information Security opdagede flere sårbarheder i xml-security-c, en implementering af XML Digital Security-specifikationen. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2013-2153

    Implementeringen af XML Digital-signaturer i biblioteket Santuario-C++, var sårbar over for et forfalskningsproblem (spoofing), som gjorde det muligt for en angriber, at genbruge eksisterende siganturer med vilkårligt indhold.

  • CVE-2013-2154

    Et stakoverløb, muligvis medførende udførelse af vilkårlig kode, blev fundet i behandlingen af misdannede XPointer-udtryk i koden til behandling af XML Signature Reference.

  • CVE-2013-2155

    En fejl i behandlingen af uddatalængden i en HMAC-baseret XML Signature, medførte et lammelsesangreb (denial of service), når der blev behandlet særligt valgte inddata.

  • CVE-2013-2156

    Et heapoverløb blev fundet i behandlingen af PrefixList-attributten, der valgfrit benyttes i forbindelse med Exclusive Canonicalization, hvilket potentielt gjorde det muligt at udføre vilkårlig kode.

I den gamle stabile distribution (squeeze), er disse problemer rettet i version 1.5.1-3+squeeze2.

I den stabile distribution (wheezy), er disse problemer rettet i version 1.6.1-5+deb7u1.

I den ustabile distribution (sid), er disse problemer rettet i version 1.6.1-6.

Vi anbefaler at du opgraderer dine xml-security-c-pakker.