Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2717-1 xml-security-c

Säkerhetsbulletin från Debian

DSA-2717-1 xml-security-c -- heapbaserat buffertspill

Rapporterat den:

2013-06-28

Berörda paket:

xml-security-c

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 714241.
I Mitres CVE-förteckning: CVE-2013-2210.

Ytterligare information:

Jon Erickson från iSIGHT Partners Labs upptäckte ett heapbaserat buffertspill i xml-security-c, en implementation av XML Digital Security-specifikationen. Rättelsen för att adressera CVE-2013-2154 introducerade möjligheten för ett heapbaserat buffertspill i behandlingen av felaktiga XPointer-uttryck i bahandlingskoden för XML-signaturreferenser, vilket kunde leda till möjlig exekvering av illasinnad kod.

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 1.5.1-3+squeeze3.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.6.1-5+deb7u2.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.6.1-7.

Vi rekommenderar att ni uppgraderar era xml-security-c-paket.