Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2219-1 xmlsec1

Debians sikkerhedsbulletin

DSA-2219-1 xmlsec1 -- overskrivelse af vilkårlig fil

Rapporteret den:

18. apr 2011

Berørte pakker:

xmlsec1

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 620560.
I Mitres CVE-ordbog: CVE-2011-1425.

Yderligere oplysninger:

Nicolas Gregoire opdagede at XML Security Library xmlsec gjorde det muligt for fjernangribere at oprette eller overskrive vilkårlig filer gennem særligt fremstillede XML-filer, ved anvendelse af uddataudvidelsen libxslt og et ds:Transform-element under signaturverifikation.

I den gamle stabile distribution (lenny), er dette problem rettet i version 1.2.9-5+lenny1.

I den stabile distribution (squeeze), er dette problem rettet i version 1.2.14-1+squeeze1.

I distributionen testing (wheezy) og i den ustabile distribution (sid), er dette problem rettet i version 1.2.14-1.1.

Vi anbefaler at du opgraderer dine xmlsec1-pakker.