Bulletin d'alerte Debian
DLA-1205-1 simplesamlphp -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 12 décembre 2017
- Paquets concernés :
- simplesamlphp
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2017-12867, CVE-2017-12868, CVE-2017-12869, CVE-2017-12872, CVE-2017-12873, CVE-2017-12874.
- Plus de précisions :
-
Le paquet simplesamlphp dans wheezy est vulnérable à plusieurs attaques du code relatif à l’authentification, conduisant à un accès non autorisé et à une divulgation d'informations.
- CVE-2017-12867
La classe SimpleSAML_Auth_TimeLimitedToken permet à des attaquants ayant accès à un jeton secret d’étendre sa période de validité en manipulant le décalage temporel en préfixe.
- CVE-2017-12869
Le module multiauth permet à des attaquants distants de contourner des restrictions de contexte d'authentification et utiliser une source d’authentification définie dans config/authsources.php à l’aide de vecteurs relatifs à une validation incorrecte de saisie d’utilisateur.
- CVE-2017-12872 /
CVE-2017-12868
(1) La source d’authentification Htpasswd dans le module authcrypt et (2) la classe SimpleSAML_Session dans SimpleSAMLphp 1.14.11 et précédents permettent à des attaquants distants de mener des attaques temporelles par canal auxiliaire en exploitant l’utilisation de l’opérateur de comparaison standard pour comparer le document secret avec la saisie de l’utilisateur.
CVE-2017-12868 concernait un correctif inapproprié de CVE-2017-12872 dans la correction initiale publiée par l’amont. Nous avons utilisé le correctif approprié.
- CVE-2017-12873
SimpleSAMLphp peut permettre à des attaquants d’obtenir des informations sensibles, un accès non autorisé ou de provoquer un impact non précisé en exploitant une génération de NameID persistante et incorrecte lorsqu’un IdP (Identity Provider) est mal configuré.
- CVE-2017-12874
Le module InfoCard pour SimpleSAMLphp permet à des attaquants d’usurper les messages XML en exploitant une vérification incorrecte de valeurs de retour dans les utilitaires de validation de signature.
Pour Debian 7
Wheezy
, ces problèmes ont été corrigés dans la version 1.9.2-1+deb7u1.Nous vous recommandons de mettre à jour vos paquets simplesamlphp.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2017-12867