Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2710-1 xml-security-c

Debians sikkerhedsbulletin

DSA-2710-1 xml-security-c -- flere sårbarheder

Rapporteret den:

18. jun 2013

Berørte pakker:

xml-security-c

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2013-2153, CVE-2013-2154, CVE-2013-2155, CVE-2013-2156.

Yderligere oplysninger:

James Forshaw fra Context Information Security opdagede flere sårbarheder i xml-security-c, en implementering af XML Digital Security-specifikationen. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2013-2153

  Implementeringen af XML Digital-signaturer i biblioteket Santuario-C++, var sårbar over for et forfalskningsproblem (spoofing), som gjorde det muligt for en angriber, at genbruge eksisterende siganturer med vilkårligt indhold.

• CVE-2013-2154

  Et stakoverløb, muligvis medførende udførelse af vilkårlig kode, blev fundet i behandlingen af misdannede XPointer-udtryk i koden til behandling af XML Signature Reference.

• CVE-2013-2155

  En fejl i behandlingen af uddatalængden i en HMAC-baseret XML Signature, medførte et lammelsesangreb (denial of service), når der blev behandlet særligt valgte inddata.

• CVE-2013-2156

  Et heapoverløb blev fundet i behandlingen af PrefixList-attributten, der valgfrit benyttes i forbindelse med Exclusive Canonicalization, hvilket potentielt gjorde det muligt at udføre vilkårlig kode.

I den gamle stabile distribution (squeeze), er disse problemer rettet i version 1.5.1-3+squeeze2.

I den stabile distribution (wheezy), er disse problemer rettet i version 1.6.1-5+deb7u1.

I den ustabile distribution (sid), er disse problemer rettet i version 1.6.1-6.

Vi anbefaler at du opgraderer dine xml-security-c-pakker.