Рекомендация Debian по безопасности

DSA-2330-1 simplesamlphp -- слабое шифрование XML

Дата сообщения:
27.10.2011
Затронутые пакеты:
simplesamlphp
Уязвим:
Да
Ссылки на базы данных по безопасности:
На данный момент ссылки на внешние базы данных по безопасности отсутствуют.
Более подробная информация:

В обработке шифрования XML в simpleSAMLphp, приложении для интегрированной аутентификации, были обнаружены проблемы. Следующие две проблемы были решены:

Можно использовать SP в качестве оракула для расшифровки зашифрованных сообщения, отправленных этому SP.

Можно использовать SP в качестве оракула ключей, что может использоваться для подделки сообщений от этого SP путём отправки 300000-2000000 запросов к SP.

В предыдущем стабильном выпуске (lenny) пакет simplesamlphp отсутствует.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 1.6.3-2.

В тестируемом выпуске (wheezy) эта проблема будет исправлена позже.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.8.2-1.

Рекомендуется обновить пакеты simplesamlphp.