Säkerhetsbulletin från Debian

DSA-2710-1 xml-security-c -- flera sårbarheter

Rapporterat den:
2013-06-18
Berörda paket:
xml-security-c
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2013-2153, CVE-2013-2154, CVE-2013-2155, CVE-2013-2156.
Ytterligare information:

James Forshaw från Context Information Security upptäckte flera sårbarheter i xml-security-c, en implementation av XML Digital Security-specifikationen. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2013-2153

    Implementationen av digitala XML-signaturer i biblioteket Santuario-C++ är sårbart för ett kapningsproblem som tillåter en angripare att återanvända existerande signaturer med godtyckligt innehåll.

  • CVE-2013-2154

    Ett stackspill, som kan leda till exekvering av illasinnad kod, finns i bearbetningen av felaktiga XPointer-uttryck i koden för hanteringen av XML-signaturreferencer.

  • CVE-2013-2155

    En bugg i bearbetningen av utdatalängden av en HMAC-baserad XML-signatur kunde orsaka en överbelastning vid bearbetning av speciellt utvald indata.

  • CVE-2013-2156

    Ett heapspill existerar i bearbetningen av PrefixList-attributet som ibland används i samband med Exclusive Canonicalization, vilket potentiellt kan tillåta exekvering av illasinnad kod.

För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 1.5.1-3+squeeze2.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.6.1-5+deb7u1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.6.1-6.

Vi rekommenderar att ni uppgraderar era xml-security-c-paket.