Bulletin d'alerte Debian
DSA-5010-1 libxml-security-java -- Mise à jour de sécurité
- Date du rapport :
- 15 novembre 2021
- Paquets concernés :
- libxml-security-java
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 994569.
Dans le dictionnaire CVE du Mitre : CVE-2021-40690. - Plus de précisions :
-
Apache Santuario XML Security pour Java est vulnérable à un problème dans lequel la propriété
secureValidation
n'est pas passée correctement lors de la création de KeyInfo à partir d'un élément KeyInfoReference. Cela permet à un attaquant d'abuser un transformateur de XPath pour extraire n'importe quel fichier .xml local dans un élément RetrievalMethod.Pour la distribution oldstable (Buster), ce problème a été corrigé dans la version 2.0.10-2+deb10u1.
Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 2.0.10-2+deb11u1.
Nous vous recommandons de mettre à jour vos paquets libxml-security-java.
Pour disposer d'un état détaillé sur la sécurité de libxml-security-java, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libxml-security-java.