Bulletin d'alerte Debian

DLA-1297-1 freexl -- Mise à jour de sécurité pour LTS

Date du rapport :
1er mars 2018
Paquets concernés :
freexl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-7435, CVE-2018-7436, CVE-2018-7437, CVE-2018-7438, CVE-2018-7439.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans SimpleSAMLphp, un cadriciel d'authentification, principalement au moyen du protocole SAML.

  • CVE-2016-9814 / CVE-2016-9955

    Une vérification incorrecte des valeurs de retour dans les utilitaires de validation de signature permettait à un attaquant de faire accepter des signatures non valables comme valables dans le rare cas d'une erreur survenant pendant la validation.

  • SSPSA-201802-01 (pas encore de CVE)

    Vulnérabilité critique de validation de signature.

En complément, cette mise à jour ajoute un correctif pour résoudre une consommation excessive de ressource dans le cas du traitement d'un grand fichier de métadonnées par SimpleSAMLphp.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.9.2-1+deb7u3.

Nous vous recommandons de mettre à jour vos paquets simplesamlphp.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.