L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Apache XML Security for Java

alerte de vulnérabilité CVE-2014-8152

Apache Santuario XML Security for Java : vérification incorrect de Streaming XML Signature

Synthèse de la vulnérabilité

Un attaquant peut créer un document XML illicite, qui est accepté comme signé correctement par StAX de Apache Santuario XML Security for Java.
Produits concernés : Apache XML Security for Java.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, transit de données.
Provenance : document.
Date création : 19/01/2015.
Références : CVE-2014-8152, VIGILANCE-VUL-16001.

Description de la vulnérabilité

Le produit Apache Santuario XML Security for Java version 2 implémente le support de la signature XML Streaming (StAX), qui permet de vérifier la signature d'un document en le lisant progressivement (via un Stream Reader).

Cependant, le document XML peut être modifié, sans que la fonction de vérification de signature StAX le détecte.

Un attaquant peut donc créer un document XML illicite, qui est accepté comme signé correctement par StAX de Apache Santuario XML Security for Java.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2009-0217

XML : contournement de signature

Synthèse de la vulnérabilité

La recommandation XMLDsig autorise un attaquant à contourner la signature d'un document XML.
Produits concernés : Apache XML Security for Java, Debian, Fedora, HP-UX, WebSphere AS Traditional, Mandriva Linux, .NET Framework, Windows 2000, Windows 2003, Windows 2008 R0, Windows 2008 R2, Windows 7, Windows Vista, Windows XP, Java OpenJDK, Oracle GlassFish Server, Java Oracle, RHEL, Unix (plateforme) ~ non exhaustif.
Gravité : 3/4.
Conséquences : création/modification de données, transit de données.
Provenance : document.
Date création : 15/07/2009.
Références : 269208, 47526, 6868619, 981343, BID-35671, CVE-2009-0217, DSA-1849-1, FEDORA-2009-8121, FEDORA-2009-8157, FEDORA-2009-8456, FEDORA-2009-8473, HPSBUX02476, MDVSA-2009:267, MDVSA-2009:268, MDVSA-2009:269, MDVSA-2009:318, MDVSA-2009:322, MS10-041, PK80596, PK80627, RHSA-2009:1428-01, SSRT090250, VIGILANCE-VUL-8864, VU#466161.

Description de la vulnérabilité

La recommandation W3C XMLDsig (XML Signature Syntax and Processing) indique comment signer les données XML.

Les algorithmes HMAC permettent de signer un document, en utilisant une clé et un algorithme de hachage.

Le paramètre XMLDsig ds:HMACOutputLength indique le nombre de bits du haché qui est utilisé sur les données. Le destinataire du document XML ne vérifie donc que ces premiers bits du haché.

Cependant, la spécification n'impose pas de taille minimum. Un attaquant peut donc envoyer un document signé avec ds:HMACOutputLength valant 1, afin que le destinataire ne vérifie qu'un seul bit.

Plusieurs implémentations de XMLDsig ont suivi la recommandation, et n'imposent pas de minimum. Ces implémentations sont donc vulnérables.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Apache XML Security for Java :