Рекомендация Debian по безопасности
DSA-3759-1 python-pysaml2 -- обновление безопасности
- Дата сообщения:
- 12.01.2017
- Затронутые пакеты:
- python-pysaml2
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 850716.
В каталоге Mitre CVE: CVE-2016-10149. - Более подробная информация:
-
Матиас Брутти обнаружил, что python-pysaml2, реализация Security Assertion Markup Language 2.0 для Python, неправильно выполняет очистку обрабатываемых сообщений в формате XML. Это позволяет удалённому злоумышленнику выполнять атаки через внешние сущности XML, что приводит к большому количеству возможных эксплоитов.
В стабильном выпуске (jessie) эта проблема была исправлена в версии 2.0.0-1+deb8u1.
В тестируемом (stretch) и нестабильном (sid) выпусках эта проблема была исправлена в версии 3.0.0-5.
Рекомендуется обновить пакеты python-pysaml2.