L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de XML : contournement de signature

Synthèse de la vulnérabilité 

La recommandation XMLDsig autorise un attaquant à contourner la signature d'un document XML.
Systèmes vulnérables : Apache XML Security for Java, Debian, Fedora, HP-UX, WebSphere AS Traditional, Mandriva Linux, .NET Framework, Windows 2000, Windows 2003, Windows 2008 R0, Windows 2008 R2, Windows 7, Windows Vista, Windows XP, Java OpenJDK, Oracle GlassFish Server, Java Oracle, RHEL, Unix (plateforme) ~ non exhaustif.
Gravité de cette menace : 3/4.
Date de création : 15/07/2009.
Références de cette faille : 269208, 47526, 6868619, 981343, BID-35671, CVE-2009-0217, DSA-1849-1, FEDORA-2009-8121, FEDORA-2009-8157, FEDORA-2009-8456, FEDORA-2009-8473, HPSBUX02476, MDVSA-2009:267, MDVSA-2009:268, MDVSA-2009:269, MDVSA-2009:318, MDVSA-2009:322, MS10-041, PK80596, PK80627, RHSA-2009:1428-01, SSRT090250, VIGILANCE-VUL-8864, VU#466161.

Description de la vulnérabilité 

La recommandation W3C XMLDsig (XML Signature Syntax and Processing) indique comment signer les données XML.

Les algorithmes HMAC permettent de signer un document, en utilisant une clé et un algorithme de hachage.

Le paramètre XMLDsig ds:HMACOutputLength indique le nombre de bits du haché qui est utilisé sur les données. Le destinataire du document XML ne vérifie donc que ces premiers bits du haché.

Cependant, la spécification n'impose pas de taille minimum. Un attaquant peut donc envoyer un document signé avec ds:HMACOutputLength valant 1, afin que le destinataire ne vérifie qu'un seul bit.

Plusieurs implémentations de XMLDsig ont suivi la recommandation, et n'imposent pas de minimum. Ces implémentations sont donc vulnérables.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cet avis cyber-sécurité concerne les logiciels ou systèmes comme Apache XML Security for Java, Debian, Fedora, HP-UX, WebSphere AS Traditional, Mandriva Linux, .NET Framework, Windows 2000, Windows 2003, Windows 2008 R0, Windows 2008 R2, Windows 7, Windows Vista, Windows XP, Java OpenJDK, Oracle GlassFish Server, Java Oracle, RHEL, Unix (plateforme) ~ non exhaustif.

Notre équipe Vigil@nce a déterminé que la gravité de ce bulletin de faille informatique est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Un attaquant avec un niveau de compétence expert peut exploiter cette faille.

Solutions pour cette menace 

Apache XML Security : version 1.4.3.
La version 1.4.3 est corrigée :
  http://santuario.apache.org/

Java 6 : version 6 Update 15.
La version 6 Update 15 est corrigée :
  http://java.sun.com/javase/downloads/index.jsp

WebSphere AS : versions 6.0.2.35, 6.1.0.25 et 7.0.0.3.
La version 6.0.2.35, 6.1.0.25 ou 7.0.0.3 est corrigée.

XML Security Library : version 1.2.12.
La version 1.2.12 est corrigée :
  http://www.aleksey.com/xmlsec/

Debian : nouveaux paquetages xml-security-c.
De nouveaux paquetages sont disponibles :
  http://security.debian.org/pool/updates/main/x/xml-security-c/libxml-security-c-*_1.2.1-3+etch1_*.deb
  http://security.debian.org/pool/updates/main/x/xml-security-c/libxml-security-c-*_1.4.0-3+lenny2_*.deb

Fedora : nouveaux paquetages xmlsec1.
De nouveaux paquetages sont disponibles :
  xmlsec1-1.2.12-1.fc10
  xmlsec1-1.2.12-1.fc11

Fedora : nouveaux paquetages xml-security-c.
De nouveaux paquetages sont disponibles :
  xml-security-c-1.5.1-1.fc10
  xml-security-c-1.5.1-1.fc11

HP-UX : patch pour JDK, SDK et JRE.
Un patch est disponible :
  JDK and JRE v6.0.05
  JDK and JRE v5.0.17
  SDK and JRE v1.4.2.23

Mandriva 2008.0 : nouveaux paquetages mono.
De nouveaux paquetages sont disponibles :
  mono-1.2.5-2.1mdv2008.0

Mandriva 2008.0 : nouveaux paquetages xmlsec1.
De nouveaux paquetages sont disponibles :
  xmlsec1-1.2.10-5.1mdv2008.0

Mandriva 2009.1 : nouveaux paquetages mono.
De nouveaux paquetages sont disponibles :
Mandriva Linux 2009.1:
mono-2.2-2.1mdv2009.1

Mandriva : nouveaux paquetages mono.
De nouveaux paquetages sont disponibles :
Mandriva Linux 2008.1:
mono-1.2.6-4.2mdv2008.1
Mandriva Linux 2009.0:
mono-1.9.1-5.2mdv2009.0
Mandriva Enterprise Server 5:
mono-1.9.1-5.2mdvmes5

Mandriva : nouveaux paquetages xmlsec1.
De nouveaux paquetages sont disponibles :
Mandriva Linux 2008.1:
xmlsec1-1.2.10-6.1mdv2008.1
Mandriva Linux 2009.0:
xmlsec1-1.2.10-7.1mdv2009.0
Mandriva Linux 2009.1:
xmlsec1-1.2.10-8.1mdv2009.1
Mandriva Enterprise Server 5:
xmlsec1-1.2.10-7.1mdvmes5

RHEL 4, 5 : nouveaux paquetages xmlsec1.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 4: xmlsec1-1.2.6-3.1
Red Hat Enterprise Linux version 5: xmlsec1-1.2.9-8.1.1

Sun GlassFish Enterprise Server : patch pour XML.
Un patch est disponible dans les sources d'information.

Windows, Microsoft .NET : patch.
L'annonce Microsoft indique les correctifs pour chaque système, et les contre-mesures.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une analyse de vulnérabilités informatiques. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.