Рекомендация Debian по безопасности
DSA-2710-1 xml-security-c -- несколько уязвимостей
- Дата сообщения:
- 18.06.2013
- Затронутые пакеты:
- xml-security-c
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2013-2153, CVE-2013-2154, CVE-2013-2155, CVE-2013-2156.
- Более подробная информация:
-
Джеймс Форшау из Context Information Security обнаружил несколько уязвимостей в xml-security-c, реализации спецификации XML Digital Security. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2013-2153
Реализация цифровых подписей XML в библиотеке Santuario-C++ уязвима по отношению к обману, что позволяет атакующему заново использовать существующие подписи с произвольным содержимым.
- CVE-2013-2154
Переполнение стека, которой возможно приводит к выполнению произвольного кода при обработке некорректных выражений XPointer в коде обработчика XML Signature Reference.
- CVE-2013-2155
Ошибка при обработке длины вывода XML Signature на основе HMAC может приводить к отказу в обслуживании при обработке специально выбранного ввода.
- CVE-2013-2156
Переполнение динамической памяти при обработке атрибута PrefixList, опционально используемого вместе с Exclusive Canonicalization, потенциально приводит к выполнению произвольного кода.
В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в версии 1.5.1-3+squeeze2.
В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.6.1-5+deb7u1.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.6.1-6.
Рекомендуется обновить пакеты xml-security-c.
- CVE-2013-2153