Информация по безопасности / 2017 / Информация о безопасности -- DSA-3759-1 python-pysaml2

Рекомендация Debian по безопасности

DSA-3759-1 python-pysaml2 -- обновление безопасности

Дата сообщения:

12.01.2017

Затронутые пакеты:

python-pysaml2

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 850716.
В каталоге Mitre CVE: CVE-2016-10149.

Более подробная информация:

Матиас Брутти обнаружил, что python-pysaml2, реализация Security Assertion Markup Language 2.0 для Python, неправильно выполняет очистку обрабатываемых сообщений в формате XML. Это позволяет удалённому злоумышленнику выполнять атаки через внешние сущности XML, что приводит к большому количеству возможных эксплоитов.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 2.0.0-1+deb8u1.

В тестируемом (stretch) и нестабильном (sid) выпусках эта проблема была исправлена в версии 3.0.0-5.

Рекомендуется обновить пакеты python-pysaml2.