lundi 13 juin 2011, 20:37:46 (UTC+0200)

xmlsec et CVE-2011-1425, un tour d'horizon des distributions Linux

Le 31 Mars 2011, la version 1.2.17 du projet "XML Security Library" a été publiée. Cette version corrige la vulnérabilité CVE-2011-1425 identifiée au cours de ma recherche sur XSLT.


L'impact de cette vulnérabilité, en particulier quand une application de sécurité de plus haut niveau (ex: authentification par Single Sign On) l'utilise, peut être important (création de fichier arbitraire côté serveur).


Voici un bref tableau recensant diverses distributions Linux, et leurs "performances" quant à la mise à disposition du correctif évoqué ci-dessus :

NomEtat Date de publicationDélai de correctionNotes
MandrivaPatché 4 Avril 2011 4 jours
GentooPatché 5 Avril 2011 5 joursAucun GLSA n'a été publié
DebianPatché 18 Avril 2011 18 jours
UbuntuPatché (cf. note) 3 Mai 2011 33 joursDeux versions LTS ne sont pas corrigées et aucun USN n'a été publié
Red HatPatché 4 Mai 2011 34 jours


Les administrateurs de serveurs Ubuntu LTS ont du souci à se faire :-(
Si vous avez des informations concernant d'autres distributions intégrant xmlsec, je suis preneur !



EDIT du 13 juin 2011 à 23h50 : réponse de l'équipe Sécurité de Ubuntu

Since the package your are referring to is in universe, it is community
maintained. If you are able, I suggest opening a bug and posting a
debdiff for this issue. When a debdiff is available, members of the
security team will review it and publish the package. See the following
link for more information:

https://wiki.ubuntu.com/SecurityTeam/UpdateProcedures


Posted by Nicolas Grégoire | Permanent link | File under: vulnérabilités, xslt

webmaster@agarri.fr
Copyright 2010-2021 Agarri