Säkerhetsbulletin från Debian
DSA-2710-1 xml-security-c -- flera sårbarheter
- Rapporterat den:
- 2013-06-18
- Berörda paket:
- xml-security-c
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2013-2153, CVE-2013-2154, CVE-2013-2155, CVE-2013-2156.
- Ytterligare information:
-
James Forshaw från Context Information Security upptäckte flera sårbarheter i xml-security-c, en implementation av XML Digital Security-specifikationen. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2013-2153
Implementationen av digitala XML-signaturer i biblioteket Santuario-C++ är sårbart för ett kapningsproblem som tillåter en angripare att återanvända existerande signaturer med godtyckligt innehåll.
- CVE-2013-2154
Ett stackspill, som kan leda till exekvering av illasinnad kod, finns i bearbetningen av felaktiga XPointer-uttryck i koden för hanteringen av XML-signaturreferencer.
- CVE-2013-2155
En bugg i bearbetningen av utdatalängden av en HMAC-baserad XML-signatur kunde orsaka en överbelastning vid bearbetning av speciellt utvald indata.
- CVE-2013-2156
Ett heapspill existerar i bearbetningen av PrefixList-attributet som ibland används i samband med Exclusive Canonicalization, vilket potentiellt kan tillåta exekvering av illasinnad kod.
För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 1.5.1-3+squeeze2.
För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.6.1-5+deb7u1.
För den instabila utgåvan (Sid) har dessa problem rättats i version 1.6.1-6.
Vi rekommenderar att ni uppgraderar era xml-security-c-paket.
- CVE-2013-2153