Debians sikkerhedsbulletin

DSA-3759-1 python-pysaml2 -- sikkerhedsopdatering

Rapporteret den:
12. jan 2017
Berørte pakker:
python-pysaml2
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 850716.
I Mitres CVE-ordbog: CVE-2016-10149.
Yderligere oplysninger:

Matias P. Brutti opdagede at python-pysaml2, en Python-implementering af Security Assertion Markup Language 2.0, ikke på korrekt vis fornuftighedskontrollerede de XML-meddelelser, som den håndterer. Dermed var det muligt for en fjernangriber at udføre XML External Entity-angreb, førende til en lang række udnytbare sårbarheder.

I den stabile distribution (jessie), er dette problem rettet i version 2.0.0-1+deb8u1.

I distributionen testing (stretch) og i den ustabile distribution (sid), er dette problem rettet i version 3.0.0-5.

Vi anbefaler at du opgraderer dine python-pysaml2-pakker.