Bulletin d'alerte Debian

DSA-3759-1 python-pysaml2 -- Mise à jour de sécurité

Date du rapport :
12 janvier 2017
Paquets concernés :
python-pysaml2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 850716.
Dans le dictionnaire CVE du Mitre : CVE-2016-10149.
Plus de précisions :

Matias P. Brutti a découvert que python-pysaml2, une implémentation en Python du Security Assertion Markup Language 2.0, ne réalisait pas de vérification correcte des messages XML qu'il gérait. Cela permettait à un attaquant distant de réaliser des attaques d'entités externes XML, menant à une grande variété d'exploits.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 2.0.0-1+deb8u1.

Pour la distribution testing (Stretch) et la distribution unstable (Sid), ce problème a été corrigé dans la version 3.0.0-5.

Nous vous recommandons de mettre à jour vos paquets python-pysaml2.