Bulletin d'alerte Debian

DLA-85-1 libxml-security-java -- Mise à jour de sécurité pour LTS

Date du rapport :
9 novembre 2014
Paquets concernés :
libxml-security-java
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-2172.
Plus de précisions :

James Forshaw a découvert que, dans XML Security d’Apache Santuario pour Java, les paramètres de CanonicalizationMethod étaient validés de manière incorrecte : en indiquant un algorithme arbitraire faible de mise en forme canonique, un attaquant pourrait usurper des signatures XML.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 1.4.3-2+deb6u1 de libxml-security-java.