L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Apache Santuario XML Security for C++

avis de vulnérabilité 27874

Apache XML Security for C++ : déni de service via DSA Key KeyInfo Combinations

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via DSA Key KeyInfo Combinations de Apache XML Security for C++, afin de mener un déni de service.
Produits concernés : Apache XML Security for C++, Debian, Fedora.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Date création : 26/11/2018.
Références : DLA-1594-1, FEDORA-2018-a0d02065d0, VIGILANCE-VUL-27874.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via DSA Key KeyInfo Combinations de Apache XML Security for C++, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique 26907

Apache XML Security for C++ : déréférencement de pointeur NULL via KeyInfo

Synthèse de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL via KeyInfo de Apache XML Security for C++, afin de mener un déni de service.
Produits concernés : Apache XML Security for C++, Debian, Shibboleth SP.
Gravité : 2/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Date création : 06/08/2018.
Références : DLA-1458-1, DSA-4265-1, SANTUARIO-491, VIGILANCE-VUL-26907.

Description de la vulnérabilité

Un attaquant peut forcer le déréférencement d'un pointeur NULL via KeyInfo de Apache XML Security for C++, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2011-2516

Apache Santuario XML Security : buffer overflow via clés longues

Synthèse de la vulnérabilité

Un attaquant peut employer une longue clé RSA, afin de provoquer un buffer overflow dans les applications C++ liées à Apache Santuario XML Security.
Produits concernés : Apache XML Security for C++, Debian, Fedora.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du service.
Provenance : document.
Date création : 11/07/2011.
Références : BID-48611, CERTA-2003-AVI-004, CVE-2011-2516, DSA-2277-1, FEDORA-2011-9494, FEDORA-2011-9501, VIGILANCE-VUL-10824.

Description de la vulnérabilité

La recommandation W3C XMLDsig (XML Signature Syntax and Processing) indique comment signer les données XML. La bibliothèque Apache Santuario XML Security implémente XMLDsig pour les programmes écrits en langage C++.

Les méthodes DSIGAlgorithmHandlerDefault::signToSafeBuffer() et OpenSSLCryptoKeyRSA::verifySHA1PKCS1Base64Signature() signent et vérifient la signature. Cependant, ces fonctions utilisent un tableau de taille fixe de 1024 octets (8192 bits).

Un attaquant peut donc employer une longue clé RSA, afin de provoquer un buffer overflow dans les applications C++ liées à Apache Santuario XML Security. Par exemple, si l'application vérifie les signatures avec une clé de plus de 8192 bits, l'attaquant peut la stopper ou y faire exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Apache Santuario XML Security for C++ :