Bulletin d'alerte Debian

DLA-2577-1 python-pysaml2 -- Mise à jour de sécurité pour LTS

Date du rapport :
26 février 2021
Paquets concernés :
python-pysaml2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 886423.
Dans le dictionnaire CVE du Mitre : CVE-2017-1000433, CVE-2021-21239, CVE-2021-21239.
Plus de précisions :

Plusieurs problèmes ont été découverts dans python-pysaml2, une implémentation en pur Python de la norme version 2 de SAML.

  • CVE-2017-1000433

    pysaml2 accepte n’importe quel mot de passe lors d’une exécution avec les optimisations de Python activées. Cela permet à des attaquants de se connecter en tant que n’importe quel utilisateur sans connaître son mot de passe.

  • CVE-2021-21239

    pysaml2 est sujet à une vulnérabilité de vérification incorrecte de signature de chiffrement. Les utilisateurs de pysaml2 qui utilisent par défaut le dorsal CryptoBackendXmlSec1 et qui ont besoin de vérifier des documents SAML signés sont affectés. PySAML2 ne certifie pas qu’un document SAML signé le soit correctement. Le dorsal par défaut CryptoBackendXmlSec1 utilise le binaire xmlsec1 pour vérifier la signature de documents SAML signés, mais par défaut xmlsec1 accepte n’importe quel type de clé trouvée dans le document fourni. xmlsec1 doit être configuré explicitement pour utiliser uniquement des certificats x509 pour le processus de vérification de la signature de document SAML.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 3.0.0-5+deb9u2.

Nous vous recommandons de mettre à jour vos paquets python-pysaml2.

Pour disposer d'un état détaillé sur la sécurité de python-pysaml2, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/python-pysaml2.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.