Рекомендация Debian по безопасности

DSA-3759-1 python-pysaml2 -- обновление безопасности

Дата сообщения:
12.01.2017
Затронутые пакеты:
python-pysaml2
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 850716.
В каталоге Mitre CVE: CVE-2016-10149.
Более подробная информация:

Матиас Брутти обнаружил, что python-pysaml2, реализация Security Assertion Markup Language 2.0 для Python, неправильно выполняет очистку обрабатываемых сообщений в формате XML. Это позволяет удалённому злоумышленнику выполнять атаки через внешние сущности XML, что приводит к большому количеству возможных эксплоитов.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 2.0.0-1+deb8u1.

В тестируемом (stretch) и нестабильном (sid) выпусках эта проблема была исправлена в версии 3.0.0-5.

Рекомендуется обновить пакеты python-pysaml2.