Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2015-02872

Опубликовано: 01 янв. 2015
Источник: fstec
CVSS3: 7.3
CVSS2: 5
EPSS Средний

Описание

Множественные уязвимости пакета libxml-security-c-doc операционной системы Debian GNU/Linux, эксплуатация которых может привести к нарушению целостности защищаемой информации. Эксплуатация уязвимостей может быть осуществлена удаленно

Вендор

Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
The GNOME Project
IBM Corp.

Наименование ПО

Debian GNU/Linux
Astra Linux Common Edition
Glib
Tivoli Business Service Manager

Версия ПО

до 4 (Debian GNU/Linux)
2.12 «Орёл» (Astra Linux Common Edition)
до 2.28 (Glib)
6.2.0 (Tivoli Business Service Manager)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux до 4
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)

Возможные меры по устранению уязвимости

Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 4:
ppc:
libxml-security-c-dev - 1.2.1-3+etch1
libxml-security-c12 - 1.2.1-3+etch1
s390x:
libxml-security-c-dev - 1.2.1-3+etch1
libxml-security-c12 - 1.2.1-3+etch1
i686:
libxml-security-c12 - 1.2.1-3+etch1
libxml-security-c-dev - 1.2.1-3+etch1
hppa:
libxml-security-c-dev - 1.2.1-3+etch1
libxml-security-c12 - 1.2.1-3+etch1
sparc:
libxml-security-c-dev - 1.2.1-3+etch1
libxml-security-c12 - 1.2.1-3+etch1
x86-64:
libxml-security-c12 - 1.2.1-3+etch1
libxml-security-c-dev - 1.2.1-3+etch1
alpha:
libxml-security-c-dev - 1.2.1-3+etch1
libxml-security-c12 - 1.2.1-3+etch1
ia64:
libxml-security-c-dev - 1.2.1-3+etch1
libxml-security-c12 - 1.2.1-3+etch1
mips:
libxml-security-c-dev - 1.2.1-3+etch1
libxml-security-c12 - 1.2.1-3+etch1
noarch:
libxml-security-c-doc - 1.2.1-3+etch1
mipsel:
libxml-security-c-dev - 1.2.1-3+etch1
libxml-security-c12 - 1.2.1-3+etch1
arm:
libxml-security-c12 - 1.2.1-3+etch1
libxml-security-c-dev - 1.2.1-3+etch1
Debian GNU/Linux 5:
ppc:
libxml-security-c-dev - 1.4.0-3+lenny2
libxml-security-c14 - 1.4.0-3+lenny2
s390x:
libxml-security-c14 - 1.4.0-3+lenny2
libxml-security-c-dev - 1.4.0-3+lenny2
i686:
libxml-security-c14 - 1.4.0-3+lenny2
libxml-security-c-dev - 1.4.0-3+lenny2
arm:
libxml-security-c14 - 1.4.0-3+lenny2
libxml-security-c-dev - 1.4.0-3+lenny2
sparc:
libxml-security-c14 - 1.4.0-3+lenny2
libxml-security-c-dev - 1.4.0-3+lenny2
x86-64:
libxml-security-c-dev - 1.4.0-3+lenny2
libxml-security-c14 - 1.4.0-3+lenny2
armel:
libxml-security-c14 - 1.4.0-3+lenny2
libxml-security-c-dev - 1.4.0-3+lenny2
alpha:
libxml-security-c14 - 1.4.0-3+lenny2
libxml-security-c-dev - 1.4.0-3+lenny2
ia64:
libxml-security-c-dev - 1.4.0-3+lenny2
libxml-security-c14 - 1.4.0-3+lenny2
mips:
libxml-security-c-dev - 1.4.0-3+lenny2
libxml-security-c14 - 1.4.0-3+lenny2
mipsel:
libxml-security-c-dev - 1.4.0-3+lenny2
libxml-security-c14 - 1.4.0-3+lenny2
hppa:
libxml-security-c-dev - 1.4.0-3+lenny2
libxml-security-c14 - 1.4.0-3+lenn
Для Glib:
Обновление программного обеспечения до 2.28 или более поздней версии
Для Astra Linux:
Обновление программного обеспечения (пакета glibc) до 2.28-10 или более поздней версии
Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6826621

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 97%
0.34983
Средний

7.3 High

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2009-0217

ubuntu
почти 16 лет назад

The design of the W3C XML Signature Syntax and Processing (XMLDsig) recommendation, as implemented in products including (1) the Oracle Security Developer Tools component in Oracle Application Server 10.1.2.3, 10.1.3.4, and 10.1.4.3IM; (2) the WebLogic Server component in BEA Product Suite 10.3, 10.0 MP1, 9.2 MP3, 9.1, 9.0, and 8.1 SP6; (3) Mono before 2.4.2.2; (4) XML Security Library before 1.2.12; (5) IBM WebSphere Application Server Versions 6.0 through 6.0.2.33, 6.1 through 6.1.0.23, and 7.0 through 7.0.0.1; (6) Sun JDK and JRE Update 14 and earlier; (7) Microsoft .NET Framework 3.0 through 3.0 SP2, 3.5, and 4.0; and other products uses a parameter that defines an HMAC truncation length (HMACOutputLength) but does not require a minimum for this length, which allows attackers to spoof HMAC-based signatures and bypass authentication by specifying a truncation length with a small number of bits.

redhat логотип

CVE-2009-0217

redhat
почти 16 лет назад

The design of the W3C XML Signature Syntax and Processing (XMLDsig) recommendation, as implemented in products including (1) the Oracle Security Developer Tools component in Oracle Application Server 10.1.2.3, 10.1.3.4, and 10.1.4.3IM; (2) the WebLogic Server component in BEA Product Suite 10.3, 10.0 MP1, 9.2 MP3, 9.1, 9.0, and 8.1 SP6; (3) Mono before 2.4.2.2; (4) XML Security Library before 1.2.12; (5) IBM WebSphere Application Server Versions 6.0 through 6.0.2.33, 6.1 through 6.1.0.23, and 7.0 through 7.0.0.1; (6) Sun JDK and JRE Update 14 and earlier; (7) Microsoft .NET Framework 3.0 through 3.0 SP2, 3.5, and 4.0; and other products uses a parameter that defines an HMAC truncation length (HMACOutputLength) but does not require a minimum for this length, which allows attackers to spoof HMAC-based signatures and bypass authentication by specifying a truncation length with a small number of bits.

nvd логотип

CVE-2009-0217

nvd
почти 16 лет назад

The design of the W3C XML Signature Syntax and Processing (XMLDsig) recommendation, as implemented in products including (1) the Oracle Security Developer Tools component in Oracle Application Server 10.1.2.3, 10.1.3.4, and 10.1.4.3IM; (2) the WebLogic Server component in BEA Product Suite 10.3, 10.0 MP1, 9.2 MP3, 9.1, 9.0, and 8.1 SP6; (3) Mono before 2.4.2.2; (4) XML Security Library before 1.2.12; (5) IBM WebSphere Application Server Versions 6.0 through 6.0.2.33, 6.1 through 6.1.0.23, and 7.0 through 7.0.0.1; (6) Sun JDK and JRE Update 14 and earlier; (7) Microsoft .NET Framework 3.0 through 3.0 SP2, 3.5, and 4.0; and other products uses a parameter that defines an HMAC truncation length (HMACOutputLength) but does not require a minimum for this length, which allows attackers to spoof HMAC-based signatures and bypass authentication by specifying a truncation length with a small number of bits.

debian логотип

CVE-2009-0217

debian
почти 16 лет назад

The design of the W3C XML Signature Syntax and Processing (XMLDsig) re ...

github логотип

GHSA-8hfm-837h-hjg5

github
около 3 лет назад

Apache XML Security For Java vulnerable to authentication bypass by HMAC truncation

EPSS

Процентиль: 97%
0.34983
Средний

7.3 High

CVSS3

5 Medium

CVSS2