Bulletin d'alerte Debian
DLA-2298-1 libapache2-mod-auth-openidc -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 29 juillet 2020
- Paquets concernés :
- libapache2-mod-auth-openidc
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2019-14857, CVE-2019-20479, CVE-2019-1010247.
- Plus de précisions :
-
Plusieurs problèmes ont été découverts dans libapache2-mod-auth-openidc, le module d’authentification de connexion d’OpenID pour le serveur HTTP Apache.
- CVE-2019-14857
Validation insuffisante d’URL conduisant à une vulnérabilité de redirection ouverte. Un attaquant pouvait piéger une victime pour obtenir une accréditation vers un fournisseur OpenID en redirigeant la requête vers un site web non voulu.
- CVE-2019-20479
Dû à une validation insuffisante d’URL, une vulnérabilité de redirection ouverte pour les URL commençant avec une barre oblique ou une barre oblique inverse pouvait être mal utilisée.
- CVE-2019-1010247
La page OIDCRedirectURI contenait du code JavaScript généré qui utilisait un paramètre de scrutation comme variable de chaîne, pouvant donc contenir du code JavaScript supplémentaire. Cela pouvait conduire à un script intersite (XSS).
Pour Debian 9
Stretch
, ces problèmes ont été corrigés dans la version 2.1.6-1+deb9u1.Nous vous recommandons de mettre à jour vos paquets libapache2-mod-auth-openidc.
Pour disposer d'un état détaillé sur la sécurité de libapache2-mod-auth-openidc, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libapache2-mod-auth-openidc
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2019-14857