Bulletin d'alerte Debian

DSA-2467-1 mahara -- Défauts non sécurisés

Date du rapport :
9 mai 2012
Paquets concernés :
mahara
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-2351.
Plus de précisions :

Mahara, un portefeuille électronique complet, blog et constructeur de curriculum vitæ, possède un défaut non sécurisé par rapport à l'authentification basée sur SAML utilisée avec plus d'un fournisseur d'identité (IdP) SAML. Quelqu'un contrôlant une IdP pourrait usurper l'identité des utilisateurs d'autres IdP.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.2.6-2+squeeze4.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 1.4.2-1.

Nous vous recommandons de mettre à jour vos paquets mahara.