Debians sikkerhedsbulletin
DSA-2710-1 xml-security-c -- flere sårbarheder
- Rapporteret den:
- 18. jun 2013
- Berørte pakker:
- xml-security-c
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2013-2153, CVE-2013-2154, CVE-2013-2155, CVE-2013-2156.
- Yderligere oplysninger:
-
James Forshaw fra Context Information Security opdagede flere sårbarheder i xml-security-c, en implementering af XML Digital Security-specifikationen. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2013-2153
Implementeringen af XML Digital-signaturer i biblioteket Santuario-C++, var sårbar over for et forfalskningsproblem (spoofing), som gjorde det muligt for en angriber, at genbruge eksisterende siganturer med vilkårligt indhold.
- CVE-2013-2154
Et stakoverløb, muligvis medførende udførelse af vilkårlig kode, blev fundet i behandlingen af misdannede XPointer-udtryk i koden til behandling af XML Signature Reference.
- CVE-2013-2155
En fejl i behandlingen af uddatalængden i en HMAC-baseret XML Signature, medførte et lammelsesangreb (denial of service), når der blev behandlet særligt valgte inddata.
- CVE-2013-2156
Et heapoverløb blev fundet i behandlingen af PrefixList-attributten, der valgfrit benyttes i forbindelse med Exclusive Canonicalization, hvilket potentielt gjorde det muligt at udføre vilkårlig kode.
I den gamle stabile distribution (squeeze), er disse problemer rettet i version 1.5.1-3+squeeze2.
I den stabile distribution (wheezy), er disse problemer rettet i version 1.6.1-5+deb7u1.
I den ustabile distribution (sid), er disse problemer rettet i version 1.6.1-6.
Vi anbefaler at du opgraderer dine xml-security-c-pakker.
- CVE-2013-2153