Debian セキュリティ勧告

DLA-85-1 libxml-security-java -- LTS セキュリティ更新

報告日時:
2014-11-09
影響を受けるパッケージ:
libxml-security-java
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2013-2172.
詳細:

James Forshaw さんが、Java 用の Apache Santuario XML Security で CanonicalizationMethod パラメータが誤って検証されていることを発見しました。 攻撃者は任意の弱い正規化アルゴリズムを指定することで XML 署名を偽装できます。

Debian 6Squeezeでは、この問題は libxml-security-java バージョン 1.4.3-2+deb6u1 で修正されています。