Bulletin d'alerte Debian

DSA-5010-1 libxml-security-java -- Mise à jour de sécurité

Date du rapport :
15 novembre 2021
Paquets concernés :
libxml-security-java
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 994569.
Dans le dictionnaire CVE du Mitre : CVE-2021-40690.
Plus de précisions :

Apache Santuario XML Security pour Java est vulnérable à un problème dans lequel la propriété secureValidation n'est pas passée correctement lors de la création de KeyInfo à partir d'un élément KeyInfoReference. Cela permet à un attaquant d'abuser un transformateur de XPath pour extraire n'importe quel fichier .xml local dans un élément RetrievalMethod.

Pour la distribution oldstable (Buster), ce problème a été corrigé dans la version 2.0.10-2+deb10u1.

Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 2.0.10-2+deb11u1.

Nous vous recommandons de mettre à jour vos paquets libxml-security-java.

Pour disposer d'un état détaillé sur la sécurité de libxml-security-java, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libxml-security-java.