Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2219-1 xmlsec1

Bulletin d'alerte Debian

DSA-2219-1 xmlsec1 -- écrasement arbitraire de fichier

Date du rapport :

18 avril 2011

Paquets concernés :

xmlsec1

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 620560.
Dans le dictionnaire CVE du Mitre : CVE-2011-1425.

Plus de précisions :

Nicolas Gregoire a découvert que la bibliothèque de sécurité XML xmlsec permettait à des attaquants distants de créer ou écraser des fichiers arbitraires à l'aide de fichiers XML contrefaits pour l'occasion en utilisant l'extension de sortie libxslt et un élément ds:Transform lors de la vérification de signature.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1.2.9-5+lenny1.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.2.14-1+squeeze1.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 1.2.14-1.1.

Nous vous recommandons de mettre à jour vos paquets xmlsec1.