Bulletin d'alerte Debian

DLA-2298-1 libapache2-mod-auth-openidc -- Mise à jour de sécurité pour LTS

Date du rapport :
29 juillet 2020
Paquets concernés :
libapache2-mod-auth-openidc
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2019-14857, CVE-2019-20479, CVE-2019-1010247.
Plus de précisions :

Plusieurs problèmes ont été découverts dans libapache2-mod-auth-openidc, le module d’authentification de connexion d’OpenID pour le serveur HTTP Apache.

  • CVE-2019-14857

    Validation insuffisante d’URL conduisant à une vulnérabilité de redirection ouverte. Un attaquant pouvait piéger une victime pour obtenir une accréditation vers un fournisseur OpenID en redirigeant la requête vers un site web non voulu.

  • CVE-2019-20479

    Dû à une validation insuffisante d’URL, une vulnérabilité de redirection ouverte pour les URL commençant avec une barre oblique ou une barre oblique inverse pouvait être mal utilisée.

  • CVE-2019-1010247

    La page OIDCRedirectURI contenait du code JavaScript généré qui utilisait un paramètre de scrutation comme variable de chaîne, pouvant donc contenir du code JavaScript supplémentaire. Cela pouvait conduire à un script intersite (XSS).

    Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 2.1.6-1+deb9u1.

    Nous vous recommandons de mettre à jour vos paquets libapache2-mod-auth-openidc.

    Pour disposer d'un état détaillé sur la sécurité de libapache2-mod-auth-openidc, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libapache2-mod-auth-openidc

    Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.