DFN-CERT-2014-0682 XML Security Library (xmlsec1): Eine Schwachstelle ermöglicht die Manipulation von Dateien [Linux][Fedora]

DFN-CERT-2014-0682 XML Security Library (xmlsec1): Eine Schwachstelle ermöglicht die Manipulation von Dateien [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Extra Packages for Red Hat Enterprise Linux 6

Betroffene Plattformen:

Extra Packages for Red Hat Enterprise Linux

Durch eine Schwachstelle in der xmlsec1 Bibliothek ist es einem entfernten,
nicht authentifizierten Angreifer möglich Dateien zu manipulieren.

Patch:

Fedora Security Update FEDORA-EPEL-2014-1536

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-1536/xmlsec1-1.2.19-3.el6

CVE-2011-1425: Schwachstelle in XML Security Library

Die Bibliothek xmlsec1 (XML Security Library) enthält einen Fehler bei der
Verifikation von Signaturen. Wird hierbei XSLT verwendet, ist es für einen
entfernten Angreifer möglich, unter Zuhilfenahme der libxslt-Erweiterung
‘output’ beliebige Dateien mit den Rechten des Programms zu überschreiben.
Dazu muss die Erweiterung oder ein entsprechender Alias in einem
‘ Element enthalten sein.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0682/

Fedora Security Update FEDORA-EPEL-2014-1536:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-1536/xmlsec1-1.2.19-3.el6

Schwachstelle CVE-2011-1425 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-1425

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben