Bulletin d'alerte Debian

DLA-1408-1 simplesamlphp -- Mise à jour de sécurité pour LTS

Date du rapport :
29 juin 2018
Paquets concernés :
simplesamlphp
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-12868, CVE-2017-12872.
Plus de précisions :
  • CVE-2017-12872 / CVE-2017-12868

    (1) La source d’authentification Htpasswd dans le module authcrypt et (2) la classe SimpleSAML_Session dans SimpleSAMLphp 1.14.11 et précédents permettent à des attaquants distants de mener des attaques temporelles par canal auxiliaire en exploitant l’utilisation de l’opérateur de comparaison standard pour comparer le document secret avec l’entrée de l’utilisateur.

    CVE-2017-12868 concernait un correctif inapproprié de CVE-2017-12872 dans la correction initiale publiée par l’amont. Nous avons utilisé le correctif approprié.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.13.1-2+deb8u2.

Nous vous recommandons de mettre à jour vos paquets simplesamlphp.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.