Sikkerhedsoplysninger / 2021 / Sikkerhedsoplysninger -- DSA-5010-1 libxml-security-java

Debians sikkerhedsbulletin

DSA-5010-1 libxml-security-java -- sikkerhedsopdatering

Rapporteret den:

15. nov 2021

Berørte pakker:

libxml-security-java

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 994569.
I Mitres CVE-ordbog: CVE-2021-40690.

Yderligere oplysninger:

Apache Santuario, XML-sikkerhed til Java, var sårbar over for et problem hvor egenskaben secureValidation ikke blev overført korrekt, når der oprettes et KeyInfoReference-element. Dermed kunne en angriber misbruge en XPath Transform til at udpakke enhver lokal .xml-fil i et RetrievalMethod-element.

I den gamle stabile distribution (buster), er dette problem rettet i version 2.0.10-2+deb10u1.

I den stabile distribution (bullseye), er dette problem rettet i version 2.0.10-2+deb11u1.

Vi anbefaler at du opgraderer dine libxml-security-java-pakker.

For detaljeret sikkerhedsstatus vedrørende libxml-security-java, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/libxml-security-java