Säkerhetsbulletin från Debian

DSA-2330-1 simplesamlphp -- XML-krypteringssvaghet

Rapporterat den:
2011-10-27
Berörda paket:
simplesamlphp
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
För närvarande är inga ytterligare referenser till externa säkerhetsdatabaser tillgängliga.
Ytterligare information:

Problem har upptäckts i hanteringen av XML-kryptering i simpleSAMLphp, en applikation för federerad autentisering. Följande två problem har adresserats:

Det kan vara möjligt att använda en SP som ett orakel för att dekryptera krypterade meddelande som skickats till den SPn.

Det kan vara möjligt att använda SP som ett nyckelorakel som kan användas för att förfalska meddelande från den SPn genom att skicka 300000-2000000 förfrågningar till SPn.

Den gamla stabila utgåvan (Lenny) innehåller inte simplesamlphp.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 1.6.3-2.

Uttestningsutgåvan (Wheezy) kommer att rättas inom kort.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.8.2-1.

Vi rekommenderar att ni uppgraderar era simplesamlphp-paket.