Bulletin d'alerte Debian
DSA-1895-1 xmltooling -- Plusieurs vulnérabilités
- Date du rapport :
- 24 septembre 2009
- Paquets concernés :
- xmltooling
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans les paquets xmltooling, tels qu'utilisés par Shibboleth.
Chris Ries a découvert que décoder une URL contrefaite mène à un plantage et éventuellement l'exécution de code arbitraire.
Ian Young a découvert que des caractères NUL dans les noms de certificats ne sont pas correctement gérés, ce qui expose les configurations utilisant la validation de confiance PKIX aux attaques par usurpation d'identité.
Le traitement incorrect des métadonnées SAML ignore les contraintes d'utilisation de clé. Ce problème mineur nécessite également une correction dans les paquets opensaml2. Elle sera fournie dans une prochaine mise à niveau mineure et, avant cela, par le biais de stable-proposed-updates.
Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.0-2+lenny1.
Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.2.2-1.
Nous vous recommandons de mettre à jour vos paquets xmltooling.
- Corrigé dans :
-
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/x/xmltooling/xmltooling_1.0-2+lenny1.dsc
- http://security.debian.org/pool/updates/main/x/xmltooling/xmltooling_1.0-2+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/x/xmltooling/xmltooling_1.0.orig.tar.gz
- http://security.debian.org/pool/updates/main/x/xmltooling/xmltooling_1.0-2+lenny1.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/x/xmltooling/xmltooling-schemas_1.0-2+lenny1_all.deb
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-doc_1.0-2+lenny1_all.deb
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-doc_1.0-2+lenny1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-dev_1.0-2+lenny1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling1_1.0-2+lenny1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling1_1.0-2+lenny1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling1_1.0-2+lenny1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-dev_1.0-2+lenny1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-dev_1.0-2+lenny1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling1_1.0-2+lenny1_arm.deb
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-dev_1.0-2+lenny1_arm.deb
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-dev_1.0-2+lenny1_arm.deb
- ARM EABI:
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling1_1.0-2+lenny1_armel.deb
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-dev_1.0-2+lenny1_armel.deb
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-dev_1.0-2+lenny1_armel.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling1_1.0-2+lenny1_hppa.deb
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-dev_1.0-2+lenny1_hppa.deb
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-dev_1.0-2+lenny1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-dev_1.0-2+lenny1_i386.deb
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling1_1.0-2+lenny1_i386.deb
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling1_1.0-2+lenny1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-dev_1.0-2+lenny1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling1_1.0-2+lenny1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling1_1.0-2+lenny1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling1_1.0-2+lenny1_mips.deb
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-dev_1.0-2+lenny1_mips.deb
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-dev_1.0-2+lenny1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling1_1.0-2+lenny1_mipsel.deb
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-dev_1.0-2+lenny1_mipsel.deb
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-dev_1.0-2+lenny1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-dev_1.0-2+lenny1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling1_1.0-2+lenny1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling1_1.0-2+lenny1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-dev_1.0-2+lenny1_s390.deb
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling1_1.0-2+lenny1_s390.deb
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling1_1.0-2+lenny1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling-dev_1.0-2+lenny1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling1_1.0-2+lenny1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xmltooling/libxmltooling1_1.0-2+lenny1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.