发布日期：2011-04-04
更新日期：2011-05-03

受影响系统：

Debian Linux 5.0 x
MandrakeSoft Linux Mandrake 2010.0 x86_64
MandrakeSoft Linux Mandrake 2009.0 x86-64
MandrakeSoft Linux Mandrake 2009.0
MandrakeSoft Linux Mandrake 10.0
Aleksey Sanin XML Security Library 1.2.16

不受影响系统：

Aleksey Sanin XML Security Library 1.2.17

描述：

---

BUGTRAQ  ID: 47135
CVE(CAN) ID: CVE-2011-1425

XML Security Library是一个基于LibXML2 开发的用来处理XML安全标准的C库。

XML Security Library "xslt.c"在实现上存在任意文件访问漏洞，远程攻击者可利用此漏洞读取或编写任意XML文件。

XML Security Library (aka xmlsec) 1.2.17之前版本（也用在WebKit和其他产品中）中的xslt.c在启用了XSLT时，可使远程攻击者通过libxslt输出扩展和ds:Transform元素在签名验证过程中创建和覆盖任意文件。

<**>

建议：

---

厂商补丁：

MandrakeSoft
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.linux-mandrake.com/en/security/

浏览次数：2718
严重程度：0（网友投票）