Bulletin d'alerte Debian

DSA-2710-1 xml-security-c -- Plusieurs vulnérabilités

Date du rapport :
18 juin 2013
Paquets concernés :
xml-security-c
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-2153, CVE-2013-2154, CVE-2013-2155, CVE-2013-2156.
Plus de précisions :

James Forshaw de Context Information Security a découvert plusieurs vulnérabilités dans xml-security-c, une implémentation de la spécification XML Digital Security. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2013-2153

    L’implémentation de signatures numériques XML dans la bibliothèque Santuario-C++ est vulnérable à un problème d’usurpation permettant à un attaquant de réutiliser des signatures existantes avec du contenu arbitraire.

  • CVE-2013-2154

    Un dépassement de pile, ayant pour conséquence éventuelle l'exécution de code arbitraire, existe dans le traitement d’expressions XPointer incorrectes dans le code de traitement de référence de signature XML.

  • CVE-2013-2155

    Un bogue dans le traitement de la taille de sortie d’une signature XML basée sur HMAC pourrait provoquer un déni de service lors du traitement d’une entrée spécialement choisie.

  • CVE-2013-2156

    Un dépassement de tampon existe dans le traitement d’attribut PrefixList facultatif utilisé en conjonction avec Exclusive Canonicalization, permettant éventuellement l'exécution de code arbitraire.

Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 1.5.1-3+squeeze2.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.6.1-5+deb7u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.6.1-6.

Nous vous recommandons de mettre à jour vos paquets xml-security-c.