Bulletin d'alerte Debian

DLA-1314-1 simplesamlphp -- Mise à jour de sécurité pour LTS

Date du rapport :
23 mars 2018
Paquets concernés :
simplesamlphp
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-7711.
Plus de précisions :

Cure53 a découvert que dans SimpleSAMLphp, dans de rares circonstances, une signature non valable pour la liaison de redirection HTTP de SAML 2.0 HTTP pourrait être considérée comme valable.

De plus, cette mise à jour corrige une régression introduite dans la DLA-1298 par le correctif rétroporté pour SSA-201802-01/CVE-2018-7644.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.9.2-1+deb7u4.

Nous vous recommandons de mettre à jour vos paquets simplesamlphp.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.