Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2710-1 xml-security-c

Säkerhetsbulletin från Debian

DSA-2710-1 xml-security-c -- flera sårbarheter

Rapporterat den:

2013-06-18

Berörda paket:

xml-security-c

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2013-2153, CVE-2013-2154, CVE-2013-2155, CVE-2013-2156.

Ytterligare information:

James Forshaw från Context Information Security upptäckte flera sårbarheter i xml-security-c, en implementation av XML Digital Security-specifikationen. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2013-2153

  Implementationen av digitala XML-signaturer i biblioteket Santuario-C++ är sårbart för ett kapningsproblem som tillåter en angripare att återanvända existerande signaturer med godtyckligt innehåll.

• CVE-2013-2154

  Ett stackspill, som kan leda till exekvering av illasinnad kod, finns i bearbetningen av felaktiga XPointer-uttryck i koden för hanteringen av XML-signaturreferencer.

• CVE-2013-2155

  En bugg i bearbetningen av utdatalängden av en HMAC-baserad XML-signatur kunde orsaka en överbelastning vid bearbetning av speciellt utvald indata.

• CVE-2013-2156

  Ett heapspill existerar i bearbetningen av PrefixList-attributet som ibland används i samband med Exclusive Canonicalization, vilket potentiellt kan tillåta exekvering av illasinnad kod.

För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 1.5.1-3+squeeze2.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.6.1-5+deb7u1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.6.1-6.

Vi rekommenderar att ni uppgraderar era xml-security-c-paket.