Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2717-1 xml-security-c

Debians sikkerhedsbulletin

DSA-2717-1 xml-security-c -- heapoverløb

Rapporteret den:

28. jun 2013

Berørte pakker:

xml-security-c

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 714241.
I Mitres CVE-ordbog: CVE-2013-2210.

Yderligere oplysninger:

Jon Erickson fra iSIGHT Partners Labs opdagede et heapoverløb i xml-security-c, en implementering af XML Digital Security-specifikationen. Retten der løser CVE-2013-2154, indførte mulighed for et heapoverløb i behandlingen af misdannede XPointer-udtryk i behandlingskoden vedrørende XML Signature Reference, muligvis førende til udførelse af vilkårlig kode.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 1.5.1-3+squeeze3.

I den stabile distribution (wheezy), er dette problem rettet i version 1.6.1-5+deb7u2.

I den ustabile distribution (sid), er dette problem rettet i version 1.6.1-7.

Vi anbefaler at du opgraderer dine xml-security-c-pakker.