Debians sikkerhedsbulletin

DSA-5010-1 libxml-security-java -- sikkerhedsopdatering

Rapporteret den:
15. nov 2021
Berørte pakker:
libxml-security-java
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 994569.
I Mitres CVE-ordbog: CVE-2021-40690.
Yderligere oplysninger:

Apache Santuario, XML-sikkerhed til Java, var sårbar over for et problem hvor egenskaben secureValidation ikke blev overført korrekt, når der oprettes et KeyInfoReference-element. Dermed kunne en angriber misbruge en XPath Transform til at udpakke enhver lokal .xml-fil i et RetrievalMethod-element.

I den gamle stabile distribution (buster), er dette problem rettet i version 2.0.10-2+deb10u1.

I den stabile distribution (bullseye), er dette problem rettet i version 2.0.10-2+deb11u1.

Vi anbefaler at du opgraderer dine libxml-security-java-pakker.

For detaljeret sikkerhedsstatus vedrørende libxml-security-java, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/libxml-security-java