Bulletin d'alerte Debian

DLA-1756-1 libxslt -- Mise à jour de sécurité pour LTS

Date du rapport :
15 avril 2019
Paquets concernés :
libxslt
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2019-11068.
Plus de précisions :

Il existait une vulnérabilité de contournement d’authentification dans libxslt, une bibliothèque largement utilisée pour transformer des fichiers d’XML vers un autre format arbitraire.

Les routines xsltCheckRead et xsltCheckWrite permettait un accès lors de la réception d’un code d’erreur -1 et (comme xsltCheckRead renvoyait -1 pour une URL contrefaite pour l'occasion qui n’est pas en fait non valable) l’attaquant était subséquemment authentifié.

  • CVE-2019-11068

    libxslt jusqu’à 1.1.33 permet le contournement du mécanisme de protection parce les appelants de xsltCheckRead et xsltCheckWrite permettent l’accès même lors de la réception d’un code d’erreur -1. xsltCheckRead peut renvoyer -1 pour une URL contrefaite qui n’est pas en fait non valable et par la suite chargée.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.1.28-2+deb8u4.

Nous vous recommandons de mettre à jour vos paquets libxslt.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.