LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2017 / Informations sur la sécurité -- DLA-1205-1 simplesamlphp

Bulletin d'alerte Debian

DLA-1205-1 simplesamlphp -- Mise à jour de sécurité pour LTS

Date du rapport :

12 décembre 2017

Paquets concernés :

simplesamlphp

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2017-12867, CVE-2017-12868, CVE-2017-12869, CVE-2017-12872, CVE-2017-12873, CVE-2017-12874.

Plus de précisions :

Le paquet simplesamlphp dans wheezy est vulnérable à plusieurs attaques du code relatif à l’authentification, conduisant à un accès non autorisé et à une divulgation d'informations.

• CVE-2017-12867

  La classe SimpleSAML_Auth_TimeLimitedToken permet à des attaquants ayant accès à un jeton secret d’étendre sa période de validité en manipulant le décalage temporel en préfixe.

• CVE-2017-12869

  Le module multiauth permet à des attaquants distants de contourner des restrictions de contexte d'authentification et utiliser une source d’authentification définie dans config/authsources.php à l’aide de vecteurs relatifs à une validation incorrecte de saisie d’utilisateur.

• CVE-2017-12872 / CVE-2017-12868

  (1) La source d’authentification Htpasswd dans le module authcrypt et (2) la classe SimpleSAML_Session dans SimpleSAMLphp 1.14.11 et précédents permettent à des attaquants distants de mener des attaques temporelles par canal auxiliaire en exploitant l’utilisation de l’opérateur de comparaison standard pour comparer le document secret avec la saisie de l’utilisateur.

  CVE-2017-12868 concernait un correctif inapproprié de CVE-2017-12872 dans la correction initiale publiée par l’amont. Nous avons utilisé le correctif approprié.

• CVE-2017-12873

  SimpleSAMLphp peut permettre à des attaquants d’obtenir des informations sensibles, un accès non autorisé ou de provoquer un impact non précisé en exploitant une génération de NameID persistante et incorrecte lorsqu’un IdP (Identity Provider) est mal configuré.

• CVE-2017-12874

  Le module InfoCard pour SimpleSAMLphp permet à des attaquants d’usurper les messages XML en exploitant une vérification incorrecte de valeurs de retour dans les utilitaires de validation de signature.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.9.2-1+deb7u1.

Nous vous recommandons de mettre à jour vos paquets simplesamlphp.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.