Bulletin d'alerte Debian

DSA-4127-1 simplesamlphp -- Mise à jour de sécurité

Date du rapport :
2 mars 2018
Paquets concernés :
simplesamlphp
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 889286.
Dans le dictionnaire CVE du Mitre : CVE-2017-12867, CVE-2017-12869, CVE-2017-12873, CVE-2017-12874, CVE-2017-18121, CVE-2017-18122, CVE-2018-6519, CVE-2018-6521, CVE-2018-7644.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans SimpleSAMLphp, une infrastructure d'authentification, principalement au moyen du protocole SAML.

  • CVE-2017-12867

    Des attaquants dotés d'un accès à un jeton secret pourraient étendre sa période de validité en manipulant le décalage de temps ajouté.

  • CVE-2017-12869

    Lors de l'utilisation du module multiauth, des attaquants peuvent contourner des restrictions de contexte d'authentification et utiliser n'importe quelle source d'authentification définie dans la configuration.

  • CVE-2017-12873

    Des mesures de défense ont été prises pour empêcher l'administrateur de mal configurer des NameID persistants pour éviter un conflit d'identifiant (n'affecte que Debian 8 Jessie).

  • CVE-2017-12874

    Le module InfoCard pourrait accepter des messages XML incorrectement signés dans de rares occasions.

  • CVE-2017-18121

    Le module consentAdmin était vulnérable à une attaque de script intersite, permettant à un attaquant de fabriquer des liens qui pourraient exécuter du code JavaScript arbitraire dans le navigateur de la victime.

  • CVE-2017-18122

    L'implémentation (obsolète) de SAML 1.1 pourrait considérer comme valable n'importe quelle réponse SAML non signée contenant plus d'une assertion signée, sous réserve que la signature d'au moins une des assertions soit valable, permettant à un attaquant, qui pourrait obtenir une assertion valable signée d'un fournisseur d'identité (IdP), d'usurper l'identité d'utilisateurs de cet IdP.

  • CVE-2018-6519

    Déni de service d'expression rationnelle lors de l'analyse d'horodatages extrêmement longs.

  • CVE-2018-6521

    Modification du jeu de caractères MySQL du module sqlauth d'utf8 à utf8mb pour éviter une troncature théorique de requête qui pourrait permettre à des attaquants distants de contourner les restrictions d'accès voulues.

  • CVE-2018-7644

    Vulnérabilité critique de validation de signature.

Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 1.13.1-2+deb8u1.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 1.14.11-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets simplesamlphp.

Pour disposer d'un état détaillé sur la sécurité de simplesamlphp, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/simplesamlphp