Debians sikkerhedsbulletin
DSA-5010-1 libxml-security-java -- sikkerhedsopdatering
- Rapporteret den:
- 15. nov 2021
- Berørte pakker:
- libxml-security-java
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 994569.
I Mitres CVE-ordbog: CVE-2021-40690. - Yderligere oplysninger:
-
Apache Santuario, XML-sikkerhed til Java, var sårbar over for et problem hvor egenskaben
secureValidation
ikke blev overført korrekt, når der oprettes et KeyInfoReference-element. Dermed kunne en angriber misbruge en XPath Transform til at udpakke enhver lokal .xml-fil i et RetrievalMethod-element.I den gamle stabile distribution (buster), er dette problem rettet i version 2.0.10-2+deb10u1.
I den stabile distribution (bullseye), er dette problem rettet i version 2.0.10-2+deb11u1.
Vi anbefaler at du opgraderer dine libxml-security-java-pakker.
For detaljeret sikkerhedsstatus vedrørende libxml-security-java, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/libxml-security-java