Bulletin d'alerte Debian

DSA-2330-1 simplesamlphp -- Faiblesse de chiffrement XML

Date du rapport :
27 octobre 2011
Paquets concernés :
simplesamlphp
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
Plus de précisions :

Des problèmes ont été découverts dans le traitement du chiffrement XML de simpleSAMLphp, une application pour authentification fédérée. Les deux problèmes suivants ont été traités.

Un fournisseur d'accès (SP) pourrait être utilisé comme un oracle pour décrypter des messages chiffrés envoyés à ce fournisseur d'accès.

Un fournisseur d'accès (SP) pourrait être utilisé comme un oracle de clef ce qui permet de contrefaire des messages de ce fournisseur d'accès en envoyant entre 300 000 et 2 000 000 requêtes vers ce fournisseur d'accès.

La distribution oldstable (Lenny) ne contient pas simplesamlphp.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.6.3-2.

La distribution testing (Wheezy) sera corrigée prochainement.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.8.2-1.

Nous vous recommandons de mettre à jour vos paquets simplesamlphp.