Sikkerhedsoplysninger / 2017 / Sikkerhedsoplysninger -- DSA-4038-1 shibboleth-sp2

Debians sikkerhedsbulletin

DSA-4038-1 shibboleth-sp2 -- sikkerhedsopdatering

Rapporteret den:

16. nov 2017

Berørte pakker:

shibboleth-sp2

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 881857.
I Mitres CVE-ordbog: CVE-2017-16852.

Yderligere oplysninger:

Rod Widdowson fra Steading System Software LLP, opdagede en programmeringsfejl i metadataplugin'en Dynamic i Shibboleth Service Provider, hvilket medførte at plugin'en ikke fik opsat sig selv med de modtagne filtre, og dermed blev ingen af de tilsigtede kontroller udført.

Se https://shibboleth.net/community/advisories/secadv_20171115.txt for flere oplysninger.

I den gamle stabile distribution (jessie), er dette problem rettet i version 2.5.3+dfsg-2+deb8u1.

I den stabile distribution (stretch), er dette problem rettet i version 2.6.0+dfsg1-4+deb9u1.

Vi anbefaler at du opgraderer dine shibboleth-sp2-pakker.