LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2020 / Informations sur la sécurité -- DLA-2298-1 libapache2-mod-auth-openidc

Bulletin d'alerte Debian

DLA-2298-1 libapache2-mod-auth-openidc -- Mise à jour de sécurité pour LTS

Date du rapport :

29 juillet 2020

Paquets concernés :

libapache2-mod-auth-openidc

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2019-14857, CVE-2019-20479, CVE-2019-1010247.

Plus de précisions :

Plusieurs problèmes ont été découverts dans libapache2-mod-auth-openidc, le module d’authentification de connexion d’OpenID pour le serveur HTTP Apache.

• CVE-2019-14857

  Validation insuffisante d’URL conduisant à une vulnérabilité de redirection ouverte. Un attaquant pouvait piéger une victime pour obtenir une accréditation vers un fournisseur OpenID en redirigeant la requête vers un site web non voulu.

• CVE-2019-20479

  Dû à une validation insuffisante d’URL, une vulnérabilité de redirection ouverte pour les URL commençant avec une barre oblique ou une barre oblique inverse pouvait être mal utilisée.

• CVE-2019-1010247

  La page OIDCRedirectURI contenait du code JavaScript généré qui utilisait un paramètre de scrutation comme variable de chaîne, pouvant donc contenir du code JavaScript supplémentaire. Cela pouvait conduire à un script intersite (XSS).

  Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 2.1.6-1+deb9u1.

  Nous vous recommandons de mettre à jour vos paquets libapache2-mod-auth-openidc.

  Pour disposer d'un état détaillé sur la sécurité de libapache2-mod-auth-openidc, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libapache2-mod-auth-openidc

  Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.