Le 31 Mars 2011, la version 1.2.17 du projet "XML Security Library" a été publiée. Cette version corrige la vulnérabilité CVE-2011-1425 identifiée au cours de ma recherche sur XSLT.
L'impact de cette vulnérabilité, en particulier quand une application de sécurité de plus haut niveau (ex: authentification par Single Sign On) l'utilise, peut être important (création de fichier arbitraire côté serveur).
Voici un bref tableau recensant diverses distributions Linux, et leurs "performances" quant à la mise à disposition du correctif évoqué ci-dessus :
Nom | Etat | Date de publication | Délai de correction | Notes |
Mandriva | Patché | 4 Avril 2011 | 4 jours | |
Gentoo | Patché | 5 Avril 2011 | 5 jours | Aucun GLSA n'a été publié |
Debian | Patché | 18 Avril 2011 | 18 jours | |
Ubuntu | Patché (cf. note) | 3 Mai 2011 | 33 jours | Deux versions LTS ne sont pas corrigées et aucun USN n'a été publié |
Red Hat | Patché | 4 Mai 2011 | 34 jours |
Les administrateurs de serveurs Ubuntu LTS ont du souci à se faire :-(
Si vous avez des informations concernant d'autres distributions intégrant xmlsec, je suis preneur !
EDIT du 13 juin 2011 à 23h50 : réponse de l'équipe Sécurité de Ubuntu
Since the package your are referring to is in universe, it is community maintained. If you are able, I suggest opening a bug and posting a debdiff for this issue. When a debdiff is available, members of the security team will review it and publish the package. See the following link for more information: https://wiki.ubuntu.com/SecurityTeam/UpdateProcedures