Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2467-1 mahara

Bulletin d'alerte Debian

DSA-2467-1 mahara -- Défauts non sécurisés

Date du rapport :

9 mai 2012

Paquets concernés :

mahara

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-2351.

Plus de précisions :

Mahara, un portefeuille électronique complet, blog et constructeur de curriculum vitæ, possède un défaut non sécurisé par rapport à l'authentification basée sur SAML utilisée avec plus d'un fournisseur d'identité (IdP) SAML. Quelqu'un contrôlant une IdP pourrait usurper l'identité des utilisateurs d'autres IdP.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.2.6-2+squeeze4.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 1.4.2-1.

Nous vous recommandons de mettre à jour vos paquets mahara.