Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-3065-1 libxml-security-java

Säkerhetsbulletin från Debian

DSA-3065-1 libxml-security-java -- säkerhetsuppdatering

Rapporterat den:

2014-11-06

Berörda paket:

libxml-security-java

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 720375.
I Mitres CVE-förteckning: CVE-2013-2172.

Ytterligare information:

James Forshaw upptäckte att CanonicalizationMethod-parametrar valideras felaktigt i Apache Santuario XML Security for Java: genom att specificera en godtycklig svag kanoniseringsalgoritm kunde en angripare förfalska XML-signaturer.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.4.5-1+deb7u1.

För uttestningsutgåvan (Jessie) har detta problem rättats i version 1.5.5-2.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.5.5-2.

Vi rekommenderar att ni uppgraderar era libxml-security-java-paket.