更新后的 xmlsec1 程序包修复了一个安全问题和一个缺陷，现在可用于 Red Hat Enterprise Linux 4 和 5。

Red Hat 安全响应团队已将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级。

XML 安全库是基于 libxml2 和 OpenSSL 的 C 库，它实现 XML 数字签名和 XML 加密标准。

在 xmlsec1 处理包含 XSLT 转换规格的 XML 文件的方式中发现一个缺陷。特别构建的 XML 文件可能导致 xmlsec1 在执行文件数字签名验证时创建或覆盖任意文件。
(CVE-2011-1425)

Red Hat 在此感谢 Nicolas Grégoire 和 Aleksey Sanin 报告此问题。

此更新还修复以下缺陷：

* xmlsec1 之前在搜索 crypto 插件库时使用不正确的搜索路径，可能尝试使用相对路径访问这些库。（BZ#558480、BZ#700467）

xmlsec1 用户应升级这些更新后的程序包，其中包含用于修正这些问题的向后移植的修补程序。安装更新后，必须重新启动所有使用 xmlsec1 库的、正在运行的应用程序，才能使更新生效。

在 xmlsec1 中发现并修正了一个漏洞：

在已启用 XSLT 的情况下，WebKit 和其他产品所使用的 XML Security Library（即 xmlsec）1.2.17 之前版本中，xslt.c 允许远程攻击者在签名验证期间，通过与 libxslt 输出扩展模块和 ds:Transform 元素相关的矢量建立或覆盖任意文件 (CVE-2011-1425)。

自扩展维护计划起，提供适用于 2009.0 的程序包。请访问此链接以了解更多信息：http://store.mandriva.com/product_info.php?cPath=149products_id=490

更新后的程序包已进行修补，以修正此问题。

在 xmlsec1 处理包含 XSLT 转换规格的 XML 文件的方式中发现一个缺陷。特别构建的 XML 文件可能导致 xmlsec1 在执行文件数字签名验证时创建或覆盖任意文件。
(CVE-2011-1425)

安装更新后，必须重新启动所有使用 xmlsec1 库的、正在运行的应用程序，才能使更新生效。

Nicolas Gregoire 发现，XML Security Library xmlsec 允许远程攻击者在签名验证期间，借助使用 libxslt 输出扩展和 ds:Transform 元素的特别构建的 XML 文件，创建或覆盖任意文件。

远程 Redhat Enterprise Linux 4/5 主机上安装的程序包受到 RHSA-2011:0486 公告中提及的漏洞影响。

    XML 安全库是基于 libxml2 和 OpenSSL 的 C 库，它实现 XML 数字签名和 XML 加密标准。

    在 xmlsec1 处理包含 XSLT 转换规格的 XML 文件的方式中发现一个缺陷。特别构建的 XML 文件可能导致 xmlsec1 在执行文件数字签名验证时创建或覆盖任意文件。(CVE-2011-1425)

    Red Hat 在此感谢 Nicolas Grgoire 和 Aleksey Sanin 报告此问题。

    此更新还修复以下缺陷：

    * xmlsec1 之前在搜索 crypto 插件库时使用不正确的搜索路径，可能尝试使用相对路径访问这些库。（BZ#558480、BZ#700467）

    xmlsec1 用户应升级这些更新后的程序包，其中包含用于修正这些问题的向后移植的修补程序。安装更新后，必须重新启动所有使用 xmlsec1 库的、正在运行的应用程序，才能使更新生效。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

来自 Red Hat 安全公告 2011:0486：

更新后的 xmlsec1 程序包修复了一个安全问题和一个缺陷，现在可用于 Red Hat Enterprise Linux 4 和 5。

Red Hat 安全响应团队已将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级。

XML 安全库是基于 libxml2 和 OpenSSL 的 C 库，它实现 XML 数字签名和 XML 加密标准。

在 xmlsec1 处理包含 XSLT 转换规格的 XML 文件的方式中发现一个缺陷。特别构建的 XML 文件可能导致 xmlsec1 在执行文件数字签名验证时创建或覆盖任意文件。
(CVE-2011-1425)

Red Hat 在此感谢 Nicolas Grégoire 和 Aleksey Sanin 报告此问题。

此更新还修复以下缺陷：

* xmlsec1 之前在搜索 crypto 插件库时使用不正确的搜索路径，可能尝试使用相对路径访问这些库。（BZ#558480、BZ#700467）

xmlsec1 用户应升级这些更新后的程序包，其中包含用于修正这些问题的向后移植的修补程序。安装更新后，必须重新启动所有使用 xmlsec1 库的、正在运行的应用程序，才能使更新生效。

远程主机受到 GLSA-201412-09 中所述漏洞的影响（在 2011 年修复了多个程序包和多个漏洞）

已在下列程序包中发现漏洞。
 请检查“参考”部分中的 CVE 标识符以了解详细信息。
 FMOD Studio PEAR Mail LVM2 GnuCash xine-lib Last.fm Scrobbler WebKitGTK+ shadow 工具套件 PEAR unixODBC Resource Agents mrouted rsync XML 安全库 xrdb Vino OProfile syslog-ng sFlow 工具包 GNOME Display Manager libsoup CA 证书 Gitolite QtCreator Racer 的影响：

上下文有关的攻击者可获取提升的权限、执行任意代码、导致拒绝服务、获取敏感信息或绕过安全限制。
 变通方案：

目前尚无已知的变通方案。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
53813	CentOS 4 / 5：xmlsec1 (CESA-2011:0486)	Nessus	CentOS Local Security Checks	2011/5/6	2021/1/4	medium
53289	Mandriva Linux 安全公告：xmlsec1 （MDVSA-2011:063）	Nessus	Mandriva Local Security Checks	2011/4/5	2021/1/6	medium
61032	Scientific Linux 安全更新：SL4.x、SL5.x i386/x86_64 中的 xmlsec1	Nessus	Scientific Linux Local Security Checks	2012/8/1	2021/1/14	medium
53477	Debian DSA-2219-1：xmlsec1 - 任意文件覆盖	Nessus	Debian Local Security Checks	2011/4/19	2021/1/4	medium
53646	RHEL 4 / 5：xmlsec1 (RHSA-2011:0486)	Nessus	Red Hat Local Security Checks	2011/5/5	2024/11/4	high
68269	Oracle Linux 4 / 5：xmlsec1 (ELSA-2011-0486)	Nessus	Oracle Linux Local Security Checks	2013/7/12	2024/10/22	high
79962	GLSA-201412-09：在 2011 年修复了多个程序包和多个漏洞	Nessus	Gentoo Local Security Checks	2014/12/15	2025/2/28	critical

检测

插件搜索

medium

medium

medium

medium

high

high

critical