[Fedora] Schwachstelle in xml-security-c – FEDORA-2009-8157

[Fedora] Schwachstelle in xml-security-c - FEDORA-2009-8157

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2009-0217 – Schwachstelle in der XMLDsig Spezifikation

Die W3C Empfehlung zur Syntax und Verarbeitung von XLM Signaturen
(XMLDsig) enthaelt einen Paramter der angibt, ab welcher Laenge eine
HMAC Pruefsumme abgeschnitten werden darf (HMACOutputLength),
definiert aber keinen Mindestwert fuer diesen Parameter.

Angreifer, die einen HMAC Wert faelschen wollen, koennen daher einen
beliebig kleinen Wert angeben, um sich so dass Faelschen erheblich zu
erleichtern. Infolge dessen ist z.B. das Umgehen von
Zugriffskontrollmechanismen und somit das Ausspaehen vertraulicher
Daten moeglich.

Die Spezifikation wird von verschiedenen Implementierungen umgesetzt,
die dadurch fuer die Schwachstelle anfaellig sind, u.a. Apache
(xml-security-c), Oracle Application Server, BEA Weblogic, IBM
WebSphere und Mono.

Die Korrektur besteht darin, die Mindestlaenge auf 80 Bits oder die
Haelfte der HMAC Laenge zu festzulegen wobei der groessere Wert der
beiden zu waehlen ist.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket xml

Fedora 10
Fedora 11

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2009-July/msg01272.html
https://www.redhat.com/archives/fedora-package-announce/2009-July/msg01306.html

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
GRP: DFN-CERT Incident Response Team, DFN-CERT Services GmbH
Web: https://www.dfn-cert.de/, Phone: +49-40-808077-555

– ——————————————————————————–
Fedora Update Notification
FEDORA-2009-8157
2009-07-31 17:30:51
– ——————————————————————————–

Name : xml-security-c
Product : Fedora 11
Version : 1.5.1
Release : 1.fc11
URL : http://santuario.apache.org/c/
Summary : C++ Implementation of W3C security standards for XML
Description :
The xml-security-c library is a C++ implementation of the XML Digital Signature
specification. The library makes use of the Apache XML project’s Xerces-C XML
Parser and Xalan-C XSLT processor. The latter is used for processing XPath and
XSLT transforms.

– ——————————————————————————–
Update Information:

Fixes CVE-2009-0217 (#511915)
– ——————————————————————————–
ChangeLog:

– ——————————————————————————–
References:

[ 1 ] Bug #511915 – CVE-2009-0217 xmlsec1, mono, xml-security-c, xml-security-1.3.0-1jpp.ep1.*: XMLDsig HMAC-based signatures spoofing and authentication bypass
https://bugzilla.redhat.com/show_bug.cgi?id=511915
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update xml-security-c’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFKdvZik0kIxZMiiQ8RAkJHAKDND5m/Or+YHt0U+cTk7xYkWi85xwCggpR8
lYsR1T7tOWsgGvSwfwQv4zM=
=xkrg
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben